Plataforma
other
Componente
pingfederate
Corregido en
11.0.10
11.1.10
11.2.9
11.3.5
12.0.1
Se ha identificado una vulnerabilidad de inyección JSON en PingFederate, afectando a las versiones desde 11.0.0 hasta 12.0.0. Esta falla permite a un atacante inyectar código JSON malicioso a través de la API REST utilizando el método POST y un cuerpo de solicitud JSON. La explotación exitosa podría resultar en la manipulación de datos sensibles. La versión 12.0.1 ya incluye la corrección para esta vulnerabilidad.
La inyección JSON en PingFederate permite a un atacante controlar la estructura y el contenido de los datos procesados por la API REST. Esto podría llevar a la modificación de configuraciones, la creación de usuarios falsos, o la manipulación de datos de autenticación y autorización. Un atacante podría, por ejemplo, inyectar código JSON que altere las reglas de acceso, permitiéndole eludir los controles de seguridad y acceder a recursos restringidos. El impacto potencial se extiende a la integridad y confidencialidad de los datos gestionados por PingFederate, pudiendo comprometer la seguridad de las aplicaciones que dependen de él.
Esta vulnerabilidad ha sido publicada el 9 de julio de 2024. No se ha reportado explotación activa en entornos reales hasta el momento. La probabilidad de explotación se considera baja debido a la necesidad de un conocimiento técnico específico y la disponibilidad de una solución de parche. No se ha añadido a la lista KEV de CISA.
Organizations heavily reliant on PingFederate for single sign-on (SSO) and identity federation are at risk. Specifically, deployments utilizing the REST API for custom integrations or data synchronization are particularly vulnerable. Environments with weak input validation on the REST API endpoints are also at higher risk.
• other / generic web:
curl -X POST -d '{"malicious_json": "test"}' <pingfederate_rest_api_endpoint> | grep -i "error"• other / generic web:
# Check PingFederate logs for unusual JSON POST requests
zgrep -i "malicious_json" /path/to/pingfederate/logs/*disclosure
Estado del Exploit
EPSS
0.14% (34% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-21832 es actualizar PingFederate a la versión 12.0.1 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar validaciones estrictas en la entrada de datos de la API REST para prevenir la inyección de código JSON malicioso. Además, se aconseja revisar y endurecer las reglas de acceso y autorización para limitar el impacto potencial de una explotación exitosa. Después de la actualización, confirme la mitigación revisando los registros de auditoría en busca de intentos de inyección JSON.
Actualice PingFederate a la última versión disponible que corrija la vulnerabilidad de inyección JSON. Consulte el aviso de seguridad del proveedor para obtener detalles específicos sobre las versiones corregidas y las instrucciones de actualización. Aplique las actualizaciones de seguridad tan pronto como sea posible para mitigar el riesgo de explotación.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-21832 is a LOW severity JSON injection vulnerability in PingFederate versions 11.0.0–12.0.0, allowing attackers to manipulate data via the REST API POST method.
If you are running PingFederate versions 11.0.0 through 12.0.0 and utilize the REST API, you are potentially affected by this vulnerability.
Upgrade PingFederate to version 12.0.1 or later to remediate the vulnerability. Implement stricter input validation as a temporary workaround.
Currently, there are no publicly available proof-of-concept exploits or confirmed reports of active exploitation, but proactive mitigation is still recommended.
Refer to the PingFederate security advisory for detailed information and mitigation guidance: [https://docs.pingidentity.com/pingfederate/12.0.1/pdf/SecurityAdvisory.pdf](https://docs.pingidentity.com/pingfederate/12.0.1/pdf/SecurityAdvisory.pdf)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.