تجاوز خطير للمصادقة في ruby-saml
2025-03-15
اكتشف باحثون في مختبر أمان GitHub ثغرتين خطيرتين في المصادقة (CVE-2025-25291 و CVE-2025-25292) في مكتبة ruby-saml. يمكن للمهاجمين استخدام توقيع واحد صالح لتزوير بيانات SAML، مما يسمح بالسيطرة على الحسابات من خلال تسجيل الدخول كأي مستخدم. تنبع هذه الثغرة من استخدام ruby-saml لمعالجين XML مختلفين (REXML و Nokogiri)، مما يخلق فرقًا في المعالجة يستغله المهاجمون. يصلح الإصدار 1.18.0 هذه الثغرة الأمنية؛ يُنصح جميع المستخدمين بتحديثه على الفور.
التطوير