Iniciar sesión con Microsoft
Iniciar sesión o crear una cuenta
Hola:
Seleccione una cuenta diferente.
Tiene varias cuentas
Elija la cuenta con la que desea iniciar sesión.

Resumen

Una vulnerabilidad de elevación de privilegios existe cuando la biblioteca de Azure Active Directory Passport (Passport-Azure-AD para Node.js) valida incorrectamente los tokens de ID.

Un atacante que explote con éxito esta vulnerabilidad podría omitir la autenticación de Azure Active Directory a una aplicación web de destino del host. Para aprovechar esta vulnerabilidad, un atacante tendría que enviar un token especialmente diseñado para la aplicación web de destino que contiene notificaciones de identidad de un usuario válido. Esta actualización corrige la vulnerabilidad al corregir cómo se validan los tokens ID cuando estrategias de Passport aprovechan las ventajas de Azure Active Directory.

Preguntas más frecuentes acerca de esta vulnerabilidad

Q1: se usa Active Directory de Azure. ¿Afecta?

A1: Esta vulnerabilidad sólo afecta a aplicaciones web que utilizan Passport-Azure-AD de la biblioteca de Node.js para aprovechar de Azure AD en la autenticación. La autenticación de Azure AD estándar que no use Passport-Azure-AD para la biblioteca de Node.js no se ve afectada. La vulnerabilidad existe en aplicaciones web que utilizan las versiones obsoletas de Passport-Azure-AD para la biblioteca de Node.js.

Q2: ¿Qué es Passport-Azure-AD para Node.js?

A2: Passport-Azure-AD para Node.js es un conjunto de estrategias de Passport que le ayudarán a integrar sus aplicaciones de nodo con Azure Active Directory. Incluye OpenID Connect, WS-Federation y autenticación SAML-P y autorización. Estos proveedores le permiten utilizar las numerosas características de Passport-Azure-AD para Node.js, incluyendo inicio de sesión único en web (WebSSO), protección de extremos con OAuth y emisión y validación de tokens de JWT.

Información de actualización

Los desarrolladores que utilizan la biblioteca Node.js de Passport Azure AD deben descargar la versión más reciente de Passport-Azure-AD para la biblioteca de Node.js y, a continuación, actualizar sus aplicaciones. Los detalles técnicos se publican en nuestro repositorio de GitHub.

Desarrolladores que utilizan la versión 1. x deben actualizar a la versión 1.4.6.

Los desarrolladores que utilizan la versión 2.0 deben actualizar a la versión 2.0.1.

Estado

Microsoft ha confirmado que se trata de un problema en Passport-Azure-AD la para biblioteca de Node.js.

Referencias

Número CVE: 7191 de 2016

Obtenga información acerca de la terminología que utiliza Microsoft para describir las actualizaciones de software.

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Descubrir Comunidad

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción a Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.

Pregunte en Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

¿Le ha sido útil esta información?

¿Cuál es tu grado de satisfacción con la calidad del lenguaje?
¿Qué ha afectado a su experiencia?
Si presiona Enviar, sus comentarios se usarán para mejorar los productos y servicios de Microsoft. El administrador de TI podrá recopilar estos datos. Declaración de privacidad.

¡Gracias por sus comentarios!

×