Alert GCSA-25096 - Vulnerabilita' critica in node-SAML per Node.js
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
******************************************************************
Alert ID: GCSA-25096
Data: 4 Agosto 2025
Titolo: Vulnerabilita' critica in node-SAML per Node.js
******************************************************************
:: Descrizione del problema
E' stata riscontrata una vulnerabilita' critica in node-SAML, la libreria SAML di Node.js,
utilizzata da alcuni Service Provider (SP) per l'autenticazione federata.
La vulnerabilita' consente di evitare la verifica della firma di una asserzione, rendendo
possibile modificare qualsiasi asserzione ritenuta valida, in una malevola.
Per esempio e' possibile modificare uno username da una asserzione gia' ritenuta valida.
:: Software interessato
node-saml (npm) versione 5.0.1 e inferiori
:: Impatto
Authentication bypass
:: Soluzioni
Aggiornare node-saml alla versione 5.1.0
:: Riferimenti
Node-SAML github
https://github.com/node-saml/node-saml/security/advisories/GHSA-4mxg-3p6v-xgq3
CSIRT Italia
https://www.acn.gov.it/portale/w/aggiornamenti-per-node-saml
Mitre CVE
https://www.cve.org/CVERecord?id=CVE-2025-54419
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCaJCAWwAKCRDBnEyTZRJg
Qv6OAJ9TN1uEEe5A/Vzz/M0qChLXu0iHAACgnIo2b/aChm1ftydKabo1LDRF6M4=
=wsOz
-----END PGP SIGNATURE-----
Hash: SHA256
******************************************************************
Alert ID: GCSA-25096
Data: 4 Agosto 2025
Titolo: Vulnerabilita' critica in node-SAML per Node.js
******************************************************************
:: Descrizione del problema
E' stata riscontrata una vulnerabilita' critica in node-SAML, la libreria SAML di Node.js,
utilizzata da alcuni Service Provider (SP) per l'autenticazione federata.
La vulnerabilita' consente di evitare la verifica della firma di una asserzione, rendendo
possibile modificare qualsiasi asserzione ritenuta valida, in una malevola.
Per esempio e' possibile modificare uno username da una asserzione gia' ritenuta valida.
:: Software interessato
node-saml (npm) versione 5.0.1 e inferiori
:: Impatto
Authentication bypass
:: Soluzioni
Aggiornare node-saml alla versione 5.1.0
:: Riferimenti
Node-SAML github
https://github.com/node-saml/node-saml/security/advisories/GHSA-4mxg-3p6v-xgq3
CSIRT Italia
https://www.acn.gov.it/portale/w/aggiornamenti-per-node-saml
Mitre CVE
https://www.cve.org/CVERecord?id=CVE-2025-54419
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCaJCAWwAKCRDBnEyTZRJg
Qv6OAJ9TN1uEEe5A/Vzz/M0qChLXu0iHAACgnIo2b/aChm1ftydKabo1LDRF6M4=
=wsOz
-----END PGP SIGNATURE-----