漏洞信息详情

ForgeRock OpenAM - Access Management 安全漏洞

• CNNVD编号：CNNVD-201612-827
• 危害等级： 高危
  
• CVE编号： CVE-2016-10097
• 漏洞类型： 资料不足
• 发布时间： 2016-03-20
• 威胁类型： 远程
• 更新时间： 2017-01-03
• 厂        商： forgerock
• 漏洞来源：

漏洞简介

ForgeRock OpenAM - Access Management是美国ForgeRock公司的一套开源的单点登录框架（SSO），它通过提供核心的标识服务（Core Server）以实现在一个网络架构中的透明单点登录（如集中式、分布式的单点登录）。

ForgeRock OpenAM - Access Management 10.1.0版本中的/SSOPOST/metaAlias/\\%realm\\%/idpv2存在XML外部实体注入漏洞。远程攻击者可借助‘SAMLRequest’参数利用该漏洞读取任意文件。

漏洞公告

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：

https://www.forgerock.com/

参考网址

来源:www.cloudscan.me

链接:http://www.cloudscan.me/2016/03/xxe-dork-open-am-1010-xml-injection.HTML

来源:BID

链接:http://www.securityfocus.com/bid/95174

受影响实体

• Forgerock Openam:10.1.0  

补丁

暂无