CVE-2020-26244— Python oic 安全漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2020-26244 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Cryptographic issues in Python oic
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Python oic is a Python OpenID Connect implementation. In Python oic before version 1.2.1, there are several related cryptographic issues affecting client implementations that use the library. The issues are: 1) The IdToken signature algorithm was not checked automatically, but only if the expected algorithm was passed in as a kwarg. 2) JWA `none` algorithm was allowed in all flows. 3) oic.consumer.Consumer.parse_authz returns an unverified IdToken. The verification of the token was left to the discretion of the implementator. 4) iat claim was not checked for sanity (i.e. it could be in the future). These issues are patched in version 1.2.1.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
缺少必要的密码学步骤
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
Python oic 安全漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
Python是Python基金会的一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。 Python oic 1.2.1之前版本存在安全漏洞,该漏洞源于有几个相关的加密问题会影响使用该库的客户端实现。问题是:1)没有自动检查IdToken签名算法,只有当期望的算法作为kwarg传入时才会检查。2)所有流都允许JWA none 算法。3)oic.consumer.Consumer.parse_authz一个未验证的IdToken。令牌的验证由实现者自行决定。4) iat声
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
二、漏洞 CVE-2020-26244 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2020-26244 的情报信息
请登录查看更多情报信息。
CVE-2020-26244 补丁与修复 (1)
CVE-2020-26244 厂商安全公告 (1)
- https://github.com/OpenIDC/pyoidc/security/advisories/GHSA-4fjv-pmhg-3rfgx_refsource_CONFIRM
CVE-2020-26244 其他参考 (2)
- https://github.com/OpenIDC/pyoidc/releases/tag/1.2.1x_refsource_MISC
- https://pypi.org/project/oic/x_refsource_MISC
IV. Related Vulnerabilities
V. Comments for CVE-2020-26244
暂无评论