Diffusa düğümü kitapçısı aracılığıyla tek sinyalli kayıtlar (SSO) yapan yöneticiler.js SamLify, mevcut güvenlik yamalarını derhal yüklemelidir. Bu gerçekleşmezse, saldırganlar genişleme haklarına sahip kimlik doğrulama ve erişim sistemlerinden kaçınabilir.
Güvenlik sorunu
SamLify, web uygulamalarındaki SSO uygulamalarını etkinleştirmek için SAML standardının (Güvenlik Birliği'nin İşaretleme Dili) uygulanmasını basitleştirir. Açık “eleştirmen“Güvenlik açığı (CVE-2025-47949) Endor Labs güvenlik araştırmacılarıyla karşılaştı. Bir ilişkide, saldırıların nispeten az bir çaba ile mümkün olduğunu açıklayın. Ancak bir engel var.
Saldırılara başlamak için saldırganların kimlik sağlayıcısı tarafından imzalanan bir XML belgesine ait olması gerekir. Örneğin, bu belgeye erişim mümkündür. Artık belgeyi bir yöneticinin kullanıcı adı ile değiştirebilirsiniz. Kriptografik imzalar zayıf nokta nedeniyle doğru bir şekilde doğrulanmadığından, yönetici olarak kaydolabilirler.
Güvenli Sistemler
Samlify yaygındır ve büyük şirketlerde ve bulut ortamlarında kullanılır. Modül, NPM Parsel Yöneticisinden haftada yaklaşık 200.000 kez indirilir. Şu anda saldırılara yönelik herhangi bir saldırı yok, ancak bu hızlı bir şekilde değişebilir. Sonuç olarak, yöneticiler hızlı bir şekilde hareket etmelidir.
Sistemleri açıklanan saldırıdan korumak için, yöneticiler Samlify 2.10.0 düzenlemek. Önceki tüm sürümler savunmasız olmalıdır. Dikkat: GitHub'da 2.9.1 savunmasız sürüm hala indirmek için. Korumalı sürüm zaten NPM paket yöneticisinde indirilebilir.
(DES)
Bir yanıt yazın