GitHub Enterprise Server’da (GHES) CVE-2025-23369 olarak izlenen ciddi bir güvenlik açığı tanımlanmıştır ve saldırganların SAML kimlik doğrulamasını atlamasına ve diğer kullanıcı hesaplarını taklit etmesine izin verir.
Bu kusur, libxml2 SAML yanıt doğrulaması sırasında kullanılan kütüphane, idari ayrıcalıklara sahip olanlar da dahil olmak üzere hesaplara yetkisiz erişimi sağlayan kütüphane.
Güvenlik açığı, SAML yanıtlarındaki XML varlıklarının uygunsuz ele alınmasından kaynaklanmaktadır.
Saldırganlar, XML varlık referanslarını manipüle eden kötü niyetli bir SAML yanıtı hazırlayarak imza doğrulama mekanizmalarını atlayabilir ve keyfi iddialar enjekte edebilir.
Sorun, GHES’in SAML yanıtlarında şifreleme imzalarını işleme şeklini özellikle etkiler ve imzalanan içeriğin bütünlüğünün doğrulanmasında başarısızlığa yol açar.
İstismarın teknik detayları
Güvenlik İddia İşaretleme Dili (SAML), tek oturum açma (SSO) kimlik doğrulaması için yaygın olarak kullanılan bir protokoldür.
Hizmet Sağlayıcısı (SP) tarafından doğrulanan imzalı kimlik doğrulama yanıtları yayınlamak için bir kimlik sağlayıcısına (IDP) güvenir.
Bu durumda, GitHub Enterprise Server SP olarak hareket eder. Güvenlik açığı, GHES’in bu SAML yanıtlarını nasıl doğruladığı konusunda bir kusurdan yararlanır.
Sorun yatıyor has_root_sig_and_matching_ref? GHES’in SAML doğrulama mantığı içinde işlev.
Bu işlev, bir SAML yanıtının kök öğesinin düzgün bir şekilde imzalanıp imzalanmadığını kontrol eder. Ancak, tuhaflıklar nedeniyle libxml2Saldırganlar, sistemi kök imzası olarak farklı bir öğeyi doğrulamak için kandırmak için XML varlık referanslarını manipüle edebilir.
Rapora göre, bu iddia bütünlüğü için kritik kontrolleri atlar ve saldırganların kötü niyetli iddialar enjekte etmesini sağlar.
Örneğin, bir XML varlığı kullanarak and referencing it in the root element’s ID attribute, attackers can cause inconsistencies between schema validation and XPath queries.
These inconsistencies enable the injection of unauthorized assertions while maintaining a valid document structure.
Impact
The vulnerability affects all versions of GitHub Enterprise Server prior to version 3.13.0. Exploitation could allow attackers to:
- Gain unauthorized access to user accounts.
- Escalate privileges to administrator levels.
- Compromise sensitive repositories and data.
GitHub has released patches addressing this issue in versions 3.9.15, 3.10.12, 3.11.10, and 3.12.4. Administrators are urged to update their instances immediately to mitigate risks.
Additionally, organizations should consider disabling encrypted assertions if not required and enabling robust monitoring for unusual authentication activities.
This vulnerability underscores the importance of rigorous testing and validation in security-critical systems like SAML authentication frameworks.
While GitHub has addressed this issue through patches, organizations must remain vigilant against evolving attack vectors targeting authentication mechanisms.
Are you from SOC/DFIR Team? - Join 500,000+ Researchers to Analyze Cyber Threats with ANY.RUN Sandbox - Try for Free