VU # 475445 - SAML 漏洞

VU # 475445 - SAML Vulnerability

我们正在使用 opensaml 2.6.1、xmltooling 1.4.1 和 spring-security-saml2-core-1.0.0。 java 个图书馆。

想检查最近在 SAML 实现 VU#475445 中检测到的漏洞是否适用于这些库。

如果是这样我们该如何解决。

如果您是 运行 默认值,那么您不会受到影响。关键是 ParserPool bean 上的 属性 ignoreComments,默认设置为 "true"。您可以在此线程上阅读更多内容:https://github.com/spring-projects/spring-security-saml/issues/228