Admins, die Single-Sign-On-Anmeldungen (SSO) über die weitverbreitete Node.js-Bibliothek Samlify realisieren, sollten den verfügbaren Sicherheitspatch zeitnah installieren. Geschieht das nicht, können Angreifer die Authentifizierung umgehen und mit weitreichenden Rechten auf Systeme zugreifen.
Samlify vereinfacht die Implementierung des SAML-Standards (Security Assertion Markup Language), um in Webanwendungen SSO-Anmeldungen zu ermöglichen. Auf die "kritische" Sicherheitslücke (CVE-2025-47949) sind Sicherheitsforscher von Endor Labs gestoßen. In einem Bericht führen sie aus, dass Attacken mit vergleichsweise wenig Aufwand möglich sind. Eine Hürde gibt es aber.
Um Attacken einzuleiten, müssen Angreifer im Besitz eines vom Identitätsproviders signierten XML-Dokumentes sein. Der Zugriff auf so ein Dokument ist etwa als Man-in-the-Middle möglich. Nun können sie das Dokument etwa mit dem Nutzernamen eines Admins manipulieren. Weil kryptografische Signaturen aufgrund der Schwachstelle nicht korrekt verifiziert werden, können sie sich als Admin anmelden.
Samlify ist weitverbreitet und wird unter anderem in großen Firmen und Cloudumgebungen eingesetzt. Aus dem Paketmanager npm wird das Modul wöchentlich rund 200.000-mal heruntergeladen. Derzeit gibt es zwar noch keine Berichte zu Attacken, das kann sich aber schnell ändern. Dementsprechend sollten Admins zügig handeln.
Um Systeme vor der geschilderten Attacke zu schützen, müssen Admins Samlify 2.10.0 installieren. Alle vorigen Versionen sollen verwundbar sein. Vorsicht: Bei Github steht noch die angreifbare Ausgabe 2.9.1 zum Download. Im npm-Paketmanager gibt schon die abgesicherte Version zum Download.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo