InforSec News: Lỗ hổng nghiêm trọng đe dọa xác thực SAML SSO

Top Block Position

Lỗ hổng nghiêm trọng đe dọa xác thực SAML SSO

Bạn đang sử dụng các ứng dụng Node.js tích hợp SAML SSO? Hãy CẢNH GIÁC! Một lỗ hổng bảo mật cực kỳ nghiêm trọng (CVSS v4.0: 9.9) mang tên CVE-2025-47949 đã được phát hiện trong thư viện Samlify – công cụ phổ biến cho các nền tảng SaaS, tổ chức và nhà phát triển.

Lỗ hổng này nguy hiểm như thế nào?

Đây là một lỗ hổng loại Signature Wrapping cho phép kẻ tấn công mạo danh người dùng quản trị! Kẻ gian có thể chèn các thông tin xác thực giả mạo (Assertion) vào các phản hồi SAML đã được ký hợp lệ.

Cụ thể, Samlify kiểm tra chữ ký nhưng lại "lầm tưởng" và tiếp tục đọc các thông tin giả mạo từ một phần khác của tài liệu XML. Điều này giúp kẻ tấn công, chỉ cần có một phản hồi SAML hợp lệ đã ký, có thể đăng nhập với tư cách người khác mà không cần bất kỳ đặc quyền hay tương tác nào với người dùng.

Hậu quả:

Kẻ tấn công từ xa có thể leo thang đặc quyền.
Dễ dàng đăng nhập với tư cách quản trị viên.
Rủi ro truy cập trái phép vào hệ thống, dữ liệu nhạy cảm.

Ai bị ảnh hưởng?

Tất cả các phiên bản của Samlify trước 2.10.0 đều có nguy cơ.

HÀNH ĐỘNG NGAY LẬP TỨC để bảo vệ hệ thống của bạn: ➡️ CẬP NHẬT lên Samlify phiên bản 2.10.0 ngay lập tức! (Phiên bản này đã được phát hành vào đầu tháng 5/2025 này).

Dù chưa có báo cáo về việc lỗ hổng này bị khai thác trong thực tế, nhưng việc cập nhật nhanh chóng là vô cùng cần thiết để bảo vệ dữ liệu và hệ thống của bạn khỏi các mối đe dọa tiềm ẩn.

Nguồn: Nguồn: Daily CyberSecurity

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

Điện toán đám mây.
Máy tính để bàn ảo VDI.
Lưu trữ dữ liệu Drive.
Quản lý dịch vụ công nghệ thông tin ITSM.
Mạng phân phối nội dung
Giám sát an toàn thông tin mạng.
Bảo vệ an toàn thông tin đầu cuối.
Sao lưu, phục hồi dữ liệu.
Diễn tập phòng chống tấn công mạng.
Kiểm tra, đánh giá an toàn thông tin mạng.
Đào tạo an toàn thông tin.
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
Email: sales@hissc.com.vn

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

Điện toán đám mây.
Máy tính để bàn ảo VDI.
Lưu trữ dữ liệu Drive.
Quản lý dịch vụ công nghệ thông tin ITSM.
Mạng phân phối nội dung
Giám sát an toàn thông tin mạng.
Bảo vệ an toàn thông tin đầu cuối.
Sao lưu, phục hồi dữ liệu.
Diễn tập phòng chống tấn công mạng.
Kiểm tra, đánh giá an toàn thông tin mạng.
Đào tạo an toàn thông tin.
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
Email: sales@hissc.com.vn

Bottom Block Position

Trở lại Khoá học