CVE-2018-7272: AM 5.0.0, 5.1.0

CVE

CVE-2018-7272

Betroffene Software

AM 5.0.0, 5.1.0

Schwachstelle

Unauthorisierter Zugriff

Zeitlinie

  • 15.12.2017 Hersteller informiert
  • X.01.2018 Hersteller  patched Lücke
  • 24.01.2018 Hersteller veröffentlicht Security Advisory

Beschreibung

Die Anwendung AM von Forgerock ist von einer Schwachstelle betroffen, welche einen unauthorisierten Zugriff ermöglicht. Die TokenIDs werden via HTTP-GET requests versendet, welche an verschiedenen Stellen gespeichert bzw. abgegriffen werden können, beispielsweise proxy-log, lokale Browser History oder ähnliches. Dies könnte von böswilligen Administratoren ausgenutzt werden.

Acknowledgement