VULHUB ™

Wire是德国Wire公司的一款聊天软件。该软件支持 Web、WindowsiOS、Android、OS X 平台，有群组功能，可以语音通话，发送照片以及其独创性的打招呼方式 PING。 Wire Wire-server 存在数据伪造问题漏洞，该漏洞源于可以制作 DSA 签名以绕过 SAML SSO 并使用 SAML 凭据模拟任何 Wire 用户。在使用 SAML 但没有 SCIM 的团队中，可以使用伪造的 SAML 凭据创建新帐户。在攻击者可以建立的特定条件下，用于解析、呈现、签名和验证 SAML XML 数据的上游库接受攻击者在签名中提供的可信公钥。因此，攻击者可以在任何启用了 SAML SSO 的 Wire 团队中以任何用户身份登录。如果未启用 SCIM，攻击者还可以使用新的 SAML NameID 创建新用户。该漏洞影响以下产品：Wire-server 2022-01-27 之前的版本。

Wire是德国Wire公司的一款聊天软件。该软件支持 Web、WindowsiOS、Android、OS X 平台，有群组功能，可以语音通话，发送照片以及其独创性的打招呼方式 PING。 Wire Wire-server 存在数据伪造问题漏洞，该漏洞源于可以制作 DSA 签名以绕过 SAML SSO 并使用 SAML 凭据模拟任何 Wire 用户。在使用 SAML 但没有 SCIM 的团队中，可以使用伪造的 SAML 凭据创建新帐户。在攻击者可以建立的特定条件下，用于解析、呈现、签名和验证 SAML XML 数据的上游库接受攻击者在签名中提供的可信公钥。因此，攻击者可以在任何启用了 SAML SSO 的 Wire 团队中以任何用户身份登录。如果未启用 SCIM，攻击者还可以使用新的 SAML NameID 创建新用户。该漏洞影响以下产品：Wire-server 2022-01-27 之前的版本。