GitHub/SUPA SSO账户合并身份伪装漏洞(GHSA-wq6d)

漏洞概述 漏洞名称: User-controlled public.users.email can poison SSO account merge and attach victim SSO identity to attacker account 漏洞ID: GHSA-wq6d-ffwf-gqww 严重程度: High CVE ID: 无已知CVE 弱点: CWE-639 报告者: Judel777 影响范围 受影响版本: <12.128.12 修复版本: 12.128.12 影响描述: 经过身份验证的用户可以将自己的 更改为任意电子邮件地址，SSO 配置流程随后会信任可变配置文件电子邮件作为账户合并键。这允许攻击者预置其账户与受害者公司的 SSO 电子邮件地址。当真实受害者通过 SSO 登录时， 可以解析攻击者的 行作为规范预存在账户，将攻击者控制的账户 ID 合并到受害者 SSO 组织，转移受害者的 SSO 身份，并删除重复的 SSO 用户。 修复方案 推荐修复: 1. 不要使用可变 作为身份合并键。 2. 在 SSO 合并中，从 解析现有账户，而不是 。 3. 仅当目标账户的 等于 SSO 电子邮件声明时才合并。 4. 添加 RLS WITH CHECK 或触发器，防止用户将 更改为与 不同的值。 5. 考虑使 只读，并仅从受信任的元数据同步。 6. 考虑添加唯一的小写规范电子邮件约束，如果 必须表示身份电子邮件。 POC 代码 完整利用链 1. 攻击者有一个正常的经过身份验证的 Capgo 账户。 2. 攻击者更新其 为 。 3. 在 Capgo 中有活跃的 SSO 提供商。 4. 真实受害者通过 SSO 登录。 5. Capgo 创建或使用经过 SSO 身份验证的用户作为受害者。 6. 接收受害者的受信任 SSO 电子邮件声明。 7. 配置代码通过电子邮件搜索 。 8. 后端解析其可变 ，服务角色查找解析攻击者的 ID。 9. 后端将攻击者控制的账户 ID 合并到 SSO 组织，并转移受害者的 SSO 身份。 10. 重复的 SSO 用户被删除。 影响 这允许普通经过身份验证的用户预置其账户与未来 SSO 登录的另一个电子邮件地址合并。根据会话行为和 SSO 执行，影响可能包括： 在受害者 SSO 组织中的未授权成员资格 将受害者的 SSO 身份转移到攻击者控制的账户 账户合并损坏 对受害者租户的潜在持久访问作为合并用户 删除在配置期间创建的合法 SSO 用户 这比配置文件问题更高，因为可变字段后来被服务角色身份合并路径消耗。这似乎不是预期的行为。配置文件编辑可能是预期的，但使用可变配置文件电子邮件作为身份合并键是不安全的。受信任的身份电子邮件应来自 或验证的 SSO 断言，而不是来自攻击者控制的 。 最强假阳性考虑 我没有完成针对另一个真实租户或用户的实时受害者 SSO 合并。确认的实时原语是 [链接]。我相信这是可利用的原因是 SSO 配置代码使用服务角色来解析 。

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

GitHub/SUPA SSO账户合并身份伪装漏洞(GHSA-wq6d)

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

GitHub/SUPA SSO账户合并身份伪装漏洞(GHSA-wq6d)

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！