La faille critique peut permettre à un attaquant de s’authentifier en tant qu’administrateur avec des privilèges système maximaux.
Une vulnérabilité critique dans la bibliothèque populaire Samlify pourrait potentiellement permettre aux attaquants de contourner les protections de connexion unique (SSO) et de gagner un accès non autorisé aux systèmes reposant sur SAML pour l’authentification.
Suivi en CVE-2025-47949, la faille affectant la bibliothèque Node.js largement utilisée peut permettre une attaque d’emballage de signature avec un impact maximal, pour lequel il a reçu une note critique de CVSS 9.9 sur 10.
« La vulnérabilité affectant les versions Samlify avant 2.10.0 est une faiblesse grave classifiée dans le CWE-347: une mauvaise vérification de la signature cryptographique », a déclaré Endorlabs dans un article de blog. «Il permet à un attaquant de forger des réponses SAML, conduisant à un pontage d’authentification complet et à une usurpation d’identité arbitraire des utilisateurs (y compris les administrateurs).»
Samlify est une bibliothèque conçue pour simplifier l’implémentation de SAML 2.0 pour la connexion unique (SSO) et la connexion unique (SLO) en fournissant une API de haut niveau. Il dispose de plus de 200 000 téléchargements hebdomadaires sur NPM et compte 62 packages dépendants qui s’y intègrent.
Exploitation de validation de signature XML faible
SAML dépend des signatures XML pour vérifier qui est qui dans la poignée de main d’authentification entre les fournisseurs d’identité (IDP) et les fournisseurs de services (SP). Mais lorsqu’un analyseur SAML n’est pas strict sur ce qu’il vérifie, les attaquants peuvent en profiter. C’est ce qui se passe dans une attaque d’emballage de signature.
L’attaque commence par l’obtention d’un document XML valide signé par le fournisseur d’identité, éventuellement en interceptant une session de connexion à l’aide d’une configuration de l’homme au milieu ou simplement en saisissant une signature à partir des métadonnées IDP accessibles au public.
Les attaquants insérent ensuite une seconde, une fausse affirmation – en train d’être un administrateur – dans l’extrait XML déjà obtenu et signé. En raison des règles de l’analyse laxiste dans les versions Samlify avant 2.10.0, le fournisseur de services finit par traiter la fausse identité non signée de l’attaquant ainsi que la signature d’origine.
Les chercheurs d’Endor Labs ont averti que ce défaut ouvre la porte au contournement SAML SSO et est facile à exploiter car la «complexité d’attaque est faible», «aucun privilège n’est requis» et «aucune interaction utilisateur n’est nécessaire». De plus, l’exigence d’obtention d’un XML signé a été notée comme «réaliste».
Les authentificateurs SAML devraient mettre à jour vers des versions patchées
La faille a été traitée par des correctifs dans les versions Samlify 2.10.0 et plus tard.
Les chercheurs ont recommandé que les systèmes utilisant l’authentification SAML doivent mettre à jour vers une version fixe et assurer des «flux SSO sécurisés: implémenter HTTPS et éviter les sources non fiables pour les flux SAML».
SSO alimenté par SAML prend en charge une gamme de cas d’utilisation: applications d’entreprise, intégrations SaaS avec des fournisseurs d’identité comme OKTA ou Azure AD, l’identité fédérée entre les organisations et les plateformes de développeurs nécessitant une authentification utilisateur sécurisée. Un contournement complet de l’authentification à travers cette faille pourrait permettre aux attaquants d’accéder à des ressources sensibles, à des données privées ou à des actions privilégiées sous l’identité impurnée.
