Kritická zraniteľnosť v JavaScript balíčku Node-SAML
Vývojári knižnice Node-SAML vydali bezpečnostnú aktualizáciu svojho produktu, ktorá opravuje kritickú bezpečnostnú zraniteľnosť vo verifikáci kryptografických podpisov, čo môže spôsobiť neautorizovaný prístup k citlivým údajom.
Zraniteľné systémy:
- Balíček Node-SAML všetky verzie do 5.0.1
Opis zraniteľnosti:
CVE-2025-54419 (CVSS 3.1 skóre 10.0)
Bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov. Počas autentifikácie sú SAML odpovede digitálne podpísané poskytovateľom identity (IdP). V postihnutých verziách Node-SAML aplikácia načítava a dôveruje častiam SAML odpovede z nepodpísanej časti dokumentu, čím umožňuje vzdialenému, neautentifikovanému útočníkovi overenie digitálneho podpisu.
Možné škody:
- Úplne narušenie dôveryhodnosti systému
- Neoprávnená eskalácia privilégií
- Neautorizovaný prístup k citlivým údajom
Odporúčania:
Administrátorom zraniteľnej verzie balíčku sa odporúča okamžitá aktualizácia na verziu 5.1.0 v ktorej je zraniteľnosť opravená.
Zdroje: