Kritická zraniteľnosť v JavaScript balíčku Node-SAML

Vývojári knižnice Node-SAML vydali bezpečnostnú aktualizáciu svojho produktu, ktorá opravuje kritickú bezpečnostnú zraniteľnosť vo verifikáci kryptografických podpisov, čo môže spôsobiť neautorizovaný prístup k citlivým údajom.

Zraniteľné systémy:

• Balíček Node-SAML všetky verzie do 5.0.1

Opis zraniteľnosti:

CVE-2025-54419 (CVSS 3.1 skóre 10.0)

Bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov. Počas autentifikácie sú SAML odpovede digitálne podpísané poskytovateľom identity (IdP). V postihnutých verziách Node-SAML aplikácia načítava a dôveruje častiam SAML odpovede z nepodpísanej časti dokumentu, čím umožňuje vzdialenému, neautentifikovanému útočníkovi overenie digitálneho podpisu.

Možné škody:

• Úplne narušenie dôveryhodnosti systému
• Neoprávnená eskalácia privilégií
• Neautorizovaný prístup k citlivým údajom

Odporúčania:

Administrátorom zraniteľnej verzie balíčku sa odporúča okamžitá aktualizácia na verziu 5.1.0 v ktorej je zraniteľnosť opravená.

Zdroje:

• https://nvd.nist.gov/vuln/detail/CVE-2025-54419
• https://dec-solutions.com/cve-2025-54419-node-saml-saml-assertion-tampering/
• https://zeropath.com/blog/cve-2025-54419-node-saml-authentication-bypass