Sitevision 自动生成密码漏洞致签名密钥泄露

据Cybersecuritynews消息，Sitevision CMS 10.3.1 及更旧版本存在严重安全漏洞（CVE-2022-35202），导致 SAML 身份验证签名密钥暴露，可能被用于绕过身份验证和劫持会话。该漏洞源于 Java 密钥库自动生成的弱密码，攻击者可提取并暴力破解私钥。Sitevision 在瑞典公共部门和企业环境广泛使用，依靠 SAML 进行安全认证。由于 WebDAV 配置不当，可访问目录从而暴露包含密钥的文件。Sitevision 10.3.2 版本已修复此漏洞，相关组织应升级版本、手动更换密码、审核 WebDAV 配置并与身份提供商协调加强 URL 验证。