Duas vulnerabilidades de segurança de alta severidade foram identificadas na biblioteca de código aberto ruby-saml, possibilitando que invasores contornem os mecanismos de autenticação da Security Assertion Markup Language (SAML).
O SAML é um padrão aberto baseado em XML utilizado para a troca de informações de autenticação e autorização entre diferentes plataformas, permitindo funcionalidades como login único (SSO), que possibilita o uso de um único conjunto de credenciais para acessar diversos serviços, aplicativos e sites.
As falhas, registradas como CVE-2025-25291 e CVE-2025-25292, possuem uma pontuação CVSS de 8,8 em 10,0 e afetam as seguintes versões da biblioteca:
• < 1.12.4
• = 1.13.0, < 1.18.0
Leia também
Ambos os problemas decorrem de diferenças na forma como o REXML e o Nokogiri interpretam arquivos XML, resultando na criação de estruturas de documentos distintas a partir da mesma entrada XML.
Essa inconsistência na análise permite que atacantes executem um ataque de Signature Wrapping, possibilitando a violação dos sistemas de autenticação. As vulnerabilidades foram corrigidas nas versões ruby-saml 1.12.4 e 1.18.0.
O GitHub, pertencente à Microsoft, que detectou e relatou as falhas em novembro de 2024, afirmou que essas brechas podem ser exploradas por criminosos cibernéticos para realizar invasões de contas.
“Os atacantes que possuem uma assinatura válida gerada com a chave utilizada para validar respostas ou afirmações SAML da organização-alvo podem manipulá-la para construir novas declarações SAML e, assim, efetuar login como qualquer usuário”, explicou o pesquisador do GitHub Security Lab, Peter Stöckli.
A subsidiária da Microsoft também ressaltou que o problema ocorre devido a uma “desconexão” entre a validação do hash e a verificação da assinatura, tornando possível a exploração por meio das diferenças na interpretação do XML.
Além disso, as versões 1.12.4 e 1.18.0 corrigem uma vulnerabilidade que permite ataques de negação de serviço (DoS) remoto ao processar respostas SAML compactadas (CVE-2025-25293, pontuação CVSS: 7,7). Usuários são fortemente aconselhados a atualizar para a versão mais recente a fim de evitar possíveis explorações.
Essas descobertas surgem cerca de seis meses após o GitLab e a equipe do ruby-saml começarem a corrigir outra vulnerabilidade crítica (CVE-2024-45409, pontuação CVSS: 10,0), que também poderia levar ao comprometimento da autenticação.
+Mais
Aplicativos Android infectados com spyware norte-coreano são encontrados no Google Play
Apple corrige vulnerabilidade explorada em “ataque extremamente sofisticado”
Grande botnet surge repentinamente e lança ataques DDoS recordes