Zraniteľnosť riešenia OneLogin IAM možno zneužiť na extrakciu tajných hodnôt OIDC

Spoločnosť One Identity vydala bezpečnostné aktualizácie svojho IAM (Identity and Access Management) riešenia OneLogin, ktoré opravujú zraniteľnosť vysokej závažnosti. CVE-2025-59363 umožňuje enumeráciu aplikácií a získanie tajných hodnôt OIDC (OpenID Connect). Tie možno následne zneužiť na získanie neoprávneného prístupu do systému.

Zraniteľné systémy:

• One Identity OneLogin vo verziách starších ako 2025.3.0

Opis zraniteľnosti:

CVE-2025-59363 (CVSSv3.1 skóre 7,7)

Vysoko závažná zraniteľnosť s identifikátorom CVE-2025-59363 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov v rámci API rozhrania. Vzdialený autentifikovaný útočník by ju zaslaním špeciálne vytvorených API požiadaviek na /api/2/apps mohol zneužiť na enumeráciu a získanie tajných hodnôt OIDC (OpenID Connect) všetkých aplikácií v rámci tenanta OneLogin. Exfiltrované údaje by útočníci následne mohli zneužiť na impersonáciu používateľov, neoprávnený prístup do systémov a laterálny pohyb v infraštruktúre.

Pozn.: Na uvedenú zraniteľnosť je v súčasnosti dostupný Proof of Concept kód demonštrujúci spôsob jej zneužitia.

Možné škody:

• Neoprávnený prístup k citlivým údajom
• Neoprávnený prístup do systému
• Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame bezodkladnú aktualizáciu OneLogin na verziu 2025.3.0 a revokáciu všetkých tajných hodnôt, ktoré mohli uniknúť. Taktiež odporúčame vykonať kontrolu logov za účelom identifikácie pokusov o zneužitie zraniteľnosti.

Zdroje:

• https://onelogin.service-now.com/support?id=kb_article&sys_id=b0aad1e11bd3ea109a47ec29b04bcb72&kb_category=a0d76d70db185340d5505eea4b96199f
• https://nvd.nist.gov/vuln/detail/CVE-2025-59363
• https://www.clutch.security/blog/onelogin-many-secrets-clutch-uncovers-vulnerability-exposing-client-credentials
• https://thehackernews.com/2025/10/onelogin-bug-let-attackers-use-api-keys.html