alerts.gdaverio.it

****************************************************************** Alert ID: GCSA-25096 Data: 4 Agosto 2025 Titolo: Vulnerabilita' critica in node-SAML per Node.js ****************************************************************** :: Descrizione del problema E' stata riscontrata una vulnerabilita' critica in node-SAML, la libreria SAML di Node.js, utilizzata da alcuni Service Provider (SP) per l'autenticazione federata. La vulnerabilita' consente di evitare la verifica della firma di una asserzione, rendendo possibile modificare qualsiasi asserzione ritenuta valida, in una malevola. Per esempio e' possibile modificare uno username da una asserzione gia' ritenuta valida. :: Software interessato node-saml (npm) versione 5.0.1 e inferiori :: Impatto Authentication bypass :: Soluzioni Aggiornare node-saml alla versione 5.1.0 :: Riferimenti Node-SAML github https://github.com/node-saml/node-saml/security/advisories/GHSA-4mxg-3p6v-xgq3 CSIRT I...