<div dir="ltr">Hello,<div><br></div><div>I reported a  <a href="https://github.com/mitreid-connect/OpenID-Connect-Java-Spring-Server/issues/1521">Cross-Site Scripting</a> issue, which has been assigned CVE-2020-5497, affecting OpenID but withheld publicly reporting a related issue.  A user can purposefully conduct the Cross-Site Scripting attack against themselves to force the isAdmin check to return true.  The isAdmin call is used by several pages to view page content.  This would allow a low privileged user to view pages such as Scope, Whitelist, Clients, etc.  This issue was assigned CVE-2020-5498 but has not been published. Let me know if you need more information.</div><div><br></div><div>Best regards,</div><div><br clear="all"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div>



<div dir="ltr">
<div style="font-size:12pt;color:rgb(0,0,0);background-color:rgb(255,255,255);font-family:Calibri,Arial,Helvetica,sans-serif">
<div style="padding-top:0px;margin-left:0px">
<div style="text-align:left;padding-left:0px;overflow:hidden">
<h1 style="font-family:Helvetica;font-size:12px;font-weight:300;color:rgb(30,136,229)">
<span style="font-weight:400">AARON BISHOP </span><span style="color:rgb(102,102,102)">| Principal Penetration Tester</span></h1>
<h1 style="font-family:Helvetica;font-size:12px;color:rgb(102,102,102)"><span style="font-weight:normal">CISSP, OSCP, OSWE</span></h1>
<h1 style="font-family:Helvetica;font-size:12px;color:rgb(102,102,102)"><span style="font-weight:normal"></span><span style="font-weight:200">P:801.995.6999<br>
</span></h1>
<h1 style="font-family:Helvetica;font-size:12px;font-weight:200;color:rgb(102,102,102)">
<img align="left" alt="SecurityMetrics" border="0" height="22" src="http://info.securitymetrics.com/l/47362/2016-06-16/3xk29h/47362/79282/SM_Logo_RGB_2015.png" title="SecurityMetrics" width="150"></h1>
</div>
</div>
<table width="100%" cellspacing="0" cellpadding="0" border="0">
<tbody>
<tr>
<td align="center">
<table cellspacing="5" cellpadding="0" border="0">
<tbody>
<tr>
<td height="200" align="center" style="width:600px;height:200px"></td>
</tr>
</tbody>
</table>
</td>
</tr>
</tbody>
</table>
</div>
</div>
</div></div></div></div></div></div></div></div></div></div></div></div>