Saldırganların yönetici kullanıcılarını meşru olarak imzalanmış SAML yanıtlarına enjekte ederek yönetici kullanıcılarını taklit etmelerini sağlayan kritik bir SAMLIFY kimlik doğrulama baypas güvenlik açığı keşfedilmiştir.
SamLify, geliştiricilerin SAML SSO’su ve tek giriş (SLO) node.js uygulamalarına entegre edilmesine yardımcı olan üst düzey bir kimlik doğrulama kütüphanesidir. SAML kullanarak kimlik sağlayıcıları (IDP’ler) ve servis sağlayıcılara (SPS) oluşturmak veya bağlantı kurmak için popüler bir araçtır.
Kütüphane, SaaS platformları, STO’yu iç araçlar için uygulayan kuruluşlar, Azure AD veya OKTA gibi kurumsal kimlik sağlayıcılarıyla entegre olan geliştiriciler ve federasyonlu kimlik yönetimi senaryolarında kullanılmaktadır. NPM’de haftalık 200.000’den fazla indirme ölçen çok popüler.
CVE-2025-47949 olarak izlenen kusur, 2.10.0’dan önce Samlify’ın tüm sürümlerini etkileyen kritik (CVSS v4.0 skoru: 9.9) bir imza sarma kusurudur.
EndorLabs’ın bir raporda açıkladığı gibi, SamLify bir kullanıcının kimliğini sağlayan XML belgesinin imzalandığını doğru bir şekilde doğrular. Yine de, XML’nin bir kısmından sahte iddiaları okumaya devam ediyor.
Geçerli bir imzalı SAML yanıtı tutan saldırganlar, müdahale veya kamu meta verileri aracılığıyla, kütüphanedeki ayrıştırma kusurundan yararlanmak ve başka biri olarak kimlik doğrulamak için değiştirebilir.
Endorlabs, “Saldırgan daha sonra bu meşru olarak imzalanmış XML belgesini alır ve manipüle eder. Belgeye ikinci, kötü niyetli bir SAML iddiası eklerler.”
“Bu kötü niyetli iddia, bir hedef kullanıcının kimliğini içerir (örneğin, bir yöneticinin kullanıcı adı).”
“Önemli kısım, orijinal belgeden geçerli imzanın hala XML yapısının iyi huylu bir kısmı için geçerli olmasıdır, ancak SP’nin savunmasız ayrıştırma mantığı, imzasız, kötü niyetli iddiayı yanlışlıkla işleyecektir.”
Bu, yetkisiz uzaktan saldırganların ayrıcalık artışını gerçekleştirmesine ve yönetici olarak oturum açmasına izin veren eksiksiz bir SSO bypass’tır.
Saldırganın kullanıcı etkileşimine veya özel ayrıcalıklara ihtiyacı yoktur ve tek gereksinim geçerli bir imzalı XML blobuna erişimdir, bu da sömürüyü nispeten basit hale getirir.
Riski azaltmak için, kullanıcıların bu ayın başlarında yayınlanan SamLify 2.10.0 sürümüne yükseltmeleri önerilir.
GitHub’ın hala en son sürüm olarak 2.9.1 sunduğunu, ancak NPM’nin yazma olarak kullanıma güvenli 2.10.0’ı barındırdığını unutmayın.
Vahşi doğada CVE-2025-47949’un aktif olarak kullanılması hakkında herhangi bir rapor bulunmamıştır, ancak etkilenen kullanıcılara derhal harekete geçmeleri ve ortamlarını güvence altına almaları tavsiye edilir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.