Authentication Bypass in eIDAS-Node

Project Description

Durch Fehler in der Zertifikatsprüfung akzeptierte die eIDAS-Node Software der Europäischen Kommission manipulierte SAML-Nachrichten, wodurch ein Angreifer in der Lage gewesen wäre eIDAS-Authentifizierung zu umgehen und eine fremde Identität anzunehmen.

Zum ausführlichen Blog-Post bzw. Security-Advisory (Englisch)

Security Research: Wolfgang Ettlinger / @2019

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung. Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.

Project Details

TitleAuthentication Bypass
ProducteIDAS-Node
Vulnerable version<=v2.3 (v2.1 vulnerability #2)
Fixed versionv2.3.1
CVE numberCVE-2019-18632, CVE-2019-18633
Impactcritical
Homepagehttps://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/eIDAS-Node+Integration+Package
Found2019-06
ByWolfgang Ettlinger (Office Vienna) | SEC Consult Vulnerability Lab

XSS Schwachstellen in OpenProject (CVE-2019-17092)

Schwacher Algorithmus ("XOR") in FortiGuard Verschlüsselung