-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 CAIS-Alerta [17-03-2025] Vulnerabilidade crítica na autenticação OpenSAML C++ Prezados(as), O CAIS alerta a comunidade de segurança cibernética para uma vulnerabilidade crítica no SAML (Security Assertion Markup Language), usado pelo Shibboleth Service Provider (SP). A falha permite a manipulação de parâmetros em mensagens SAML assinadas via HTTP-POST-SimpleSign, o que pode levar a acesso indevido e elevação de privilégios. SAML é um padrão usado para autenticação única (SSO), permitindo que usuários acessem vários serviços com um único login, trocando informações de identidade entre sistemas de forma segura. As vulnerabilidades CVE-2025-25291 e CVE-2025-25292 afetam sistemas que utilizam a biblioteca ruby-saml, que é amplamente usada para autenticação SAML em aplicações Ruby. Por exemplo: GitLab, Terraform Enterprisem, entre outros. 1) Produtos e versões afetadas; 2) Identificadores CVE (http://cve.mitre.org); 3) Descrição das vulnerabilidades; 4) Mitigação e correções disponíveis; e 5) Mais informações. 1) Produtos e versões afetadas: SAML (Security Assertion Markup Language) versões anteriores à 1.12.4 e entre 1.13.0 e 1.18.0 (biblioteca ruby-saml) 2) Identificadores CVE (http://cve.mitre.org): CVE-2025-25291; CVE-2025-25292. 3) Descrição das vulnerabilidades: As vulnerabilidades CVE-2025-25291 e CVE-2025-25292 foram identificadas na biblioteca ruby-saml, utilizada para autenticação SAML em aplicações Ruby. Essas falhas permitem que um agente malicioso, com acesso a um documento SAML assinado válido do Provedor de Identidade (IdP), possa contornar a autenticação e se passar por outro usuário legítimo no sistema afetado. Conforme boletim do GitLAb, a origem do problema está na forma como os parsers ReXML e Nokogiri interpretam XML de maneira diferente, levando a estruturas de documentos distintas a partir do mesmo XML. Essa discrepância possibilita ataques de "Signature Wrapping", resultando em bypass de autenticação. 4) Mitigação e correções disponíveis: Diversos serviços que utilizam o ruby-saml para autenticação SAML, como GitLab e Terraform Enterprise, lançaram atualizações para correção das vulnerabilidades. O CAIS recomenda fortemente que os administradores desses serviços utilizem para as correções disponíveis para manter a segurança de suas aplicações. 5) Mais informações: https://nvd.nist.gov/vuln/detail/CVE-2025-25291 https://nvd.nist.gov/vuln/detail/CVE-2025-25292 https://shibboleth.net/community/advisories/secadv_20250313.txt https://github.blog/security/sign-in-as-anyone-bypassing-saml-sso-authentication-with-parser-differentials/ O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!! Twitter: @caisRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # https://www.rnp.br/cais/#SistemadeAlerta # # cais@cais.rnp.br Tel. 019 3787-3300 # # Chave PGP disponível: # # https://plataforma.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- iQIzBAEBCAAdFiEEmWJsLogaTfQskA851Per/VOaV4AFAmfYHk0ACgkQ1Per/VOa V4BT+hAAnAKVwQsIL/wTZ8pYqN2tW1JcIFhuYSHyvjo7iCbOAUN1i1OXKXHvOyid xigLmZsCijsxGV7mIum12O98i2E3IRqvQdfTwEDjP8jyX4jJnSY2tMkAkmF+oDNs Qz3YjUJkPNXZ4od1kLVAozprbkGlSyIrkE20NQpxreFJzt6ca1q9djwhAzcDo48A BrmsrHUY+M7VNaYSOIAiJFp/rmyjUjdIypFglskkHxSaCfnoSLBoX6X1Wr9LBcWL pdXtK76gaja6YyUNS0BLOwcI5vSL2cMpJUAZj5O3bGm964je4jLsfKqPdHFJn8A9 PbFWPg2Ahfp6M6SCUoH8VcH5iYBeveAgqkKJod3DQU2TZohaULLWi92bM6y45DXO KFEV1OSlhcFhvUeRlyBvmhqjsSffqUuGdSOn3YbF3Q6uidRWtf+Y3USaTQXOYhoG WI2w2MdcyZyf/uAZUTS7/9jbfc6XyHpT2zsHhWbuPkURoCqsKKSdnne+LCFRfH0C OZTMJkCBqQct6xxlsLWO21mUy03XI+AhAUdYQ14E5o/8+SKZ4O0EXRb3GlwfAOlE Jtz0g5VgUTdClKNbByezBul/V2pofMkALSOO6AHzHvBDTFy+9Iv0iseEeVZVrqR3 Pd5C6agt6WmADeAY+nW46aCTLjwA+Bpw5GGDC+/Wz9JkoarA+Ug= =ItmP -----END PGP SIGNATURE-----