CoreWCF.Primitives: Vulnerabilidade de bypass de verificação de assinatura

Uma vulnerabilidade de segurança no CoreWCF.Primitives permite que um invasor remoto não autenticado burle a verificação de assinatura ao colocar um cabeçalho SOAP forjado antes de wsse:Security, fazendo com que o servidor verifique a assinatura fornecida pelo invasor em vez daquela no cabeçalho de segurança.

Usuários do CoreWCF v1.8.0 e v1.9.0 cujos endpoints estão configurados com um binding de token de suporte endossante.

Atualize para CoreWCF v1.8.1 ou v1.9.1, ou aplique a solução alternativa de usar um resolvedor de token de segurança que aceite apenas referências a cadeias X.509 fixadas pelo emissor.