CSIRT Toscana Aggiornamenti per Ruby-SAML (AL02/250313/CSIRT-ITA)
Data:
13 Marzo 2025 15:03
Impatto Sistemico
Alto (66.41)
Sintesi
Rilevate 3 vulnerabilità che interessano la libreria ruby-saml del noto linguaggio di programmazione Ruby, tipicamente utilizzata per implementare le modalità di autorizzazione SAML lato client. Tale vulnerabilità, qualora sfruttata, potrebbe consentire il bypass dei meccanismi di autenticazione e/o la compromissione della disponibilità del servizio.
Tipologia
- Authentication Bypass
- Denial of Service
Prodotti e versioni affette
ruby-saml
- versioni precedenti alla 1.12.4
- dalla versione 1.13.0 alla 1.18.0
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare le versioni vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.
Riferimenti
- https://github.com/advisories/GHSA-754f-8gm6-c4r2
- https://github.com/advisories/GHSA-4vc4-m8qh-g8jm
- https://github.com/advisories/GHSA-92rq-c8cf-prrq
CVE
| CVE-ID | ||
|---|---|---|
| CVE-2025-25291 | CVE-2025-25292 | CVE-2025-25293 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 13-03-2025 | 13/03/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link