关键信息总结 漏洞概述 漏洞ID: TALOS-2025-2193 CVE编号: CVE-2025-47151 漏洞类型: 类型混淆漏洞 (Type Confusion Vulnerability) 影响版本: Entr'ouvert Lasso 2.5.1 和 2.8.2 漏洞细节 描述: 在 Entr'ouvert Lasso 的 功能中存在类型混淆漏洞。攻击者可以发送特制的SAML响应触发该漏洞,导致任意代码执行。 漏洞细节分析 问题代码: 问题解析: 当解析攻击者控制的SAMLResponse时, 触发一系列函数调用,最终导致 被调用,传入攻击者控制的字符串而非预期的 值。 漏洞影响 CVSSv3 评分: 9.6 (严重) CWE: CWE-843 - 使用不兼容类型访问资源 时间线 2025-05-13: 初始厂商联系 2025-05-14: 厂商披露 2025-08-12: 厂商公布修复补丁 2025-11-05: 公开发布 发现者 发现者: Keane O'Kelley 及 Cisco Advanced Security Initiative Group 的另一成员