Kritická zraniteľnosť v JavaScript balíčku Node-SAML

Vývojári knižnice Node-SAML vydali bezpečnostnú aktualizáciu svojho produktu, ktorá opravuje kritickú bezpečnostnú zraniteľnosť vo verifikáci kryptografických podpisov, čo môže spôsobiť neautorizovaný prístup k citlivým údajom.

Zraniteľné systémy:

  • Balíček Node-SAML všetky verzie do 5.0.1

Opis zraniteľnosti:

CVE-2025-54419 (CVSS 3.1 skóre 10.0)

Bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov. Počas autentifikácie sú SAML odpovede digitálne podpísané poskytovateľom identity (IdP). V postihnutých verziách Node-SAML aplikácia načítava a dôveruje častiam SAML odpovede z nepodpísanej časti dokumentu, čím umožňuje vzdialenému, neautentifikovanému útočníkovi overenie digitálneho podpisu.

Možné škody:

  • Úplne narušenie dôveryhodnosti systému
  • Neoprávnená eskalácia privilégií
  • Neautorizovaný prístup k citlivým údajom

Odporúčania:

Administrátorom zraniteľnej verzie balíčku sa odporúča okamžitá aktualizácia na verziu 5.1.0 v ktorej je zraniteľnosť opravená.

Zdroje: