FEHLER!

Kritische Sicherheitslücke in Samlify: Angreifer könnten SSO-Authentifizierung umgehen

Die weitverbreitete Node.js-Bibliothek Samlify, die Administratoren bei der Implementierung von Single-Sign-On-Anmeldungen (SSO) über den SAML-Standard unterstützt, weist derzeit eine kritische Sicherheitslücke auf (CVE-2025-47949). Diese Schwachstelle, die von Sicherheitsforschern bei Endor Labs entdeckt wurde, ermöglicht Angreifern mit relativ geringem Aufwand die Umgehung der Authentifizierung und den Zugriff auf Systeme mit weitreichenden Rechten.

Das Angriffsszenario basiert auf der Manipulation eines vom Identitätsprovider signierten XML-Dokuments, das für die Authentifizierung benötigt wird. Angreifer könnten dieses Dokument beispielsweise durch einen Man-in-the-Middle-Angriff erlangen und mit den Anmeldedaten eines Administrators manipulieren. Aufgrund der Schwachstelle in Samlify werden kryptografische Signaturen nicht korrekt verifiziert. Dies ermöglicht es den Angreifern, sich als Administrator auszugeben und somit uneingeschränkt auf Systeme zugreifen zu können.

Samlify findet breite Anwendung, insbesondere in großen Unternehmen und Cloud-Umgebungen. Die hohe Popularität zeigt sich auch im npm-Paketmanager, wo das Modul wöchentlich etwa 200.000 Mal heruntergeladen wird. Obwohl derzeit noch keine Berichte über tatsächliche Angriffe vorliegen, ist die Gefahr real und könnte schnell zu einer breiten Ausbreitung führen. Daher ist es entscheidend für Administratoren, umgehend zu handeln und die Sicherheitslücke zu beheben.

Die Lösung liegt in der Installation von Samlify Version 2.10.0 oder neuer. Alle vorherigen Versionen sind betroffen und sollten ersetzt werden. Wichtig ist, dass auf GitHub möglicherweise noch die angreifbare Version 2.9.1 verfügbar ist, während der npm-Paketmanager bereits die sichere Version bereitstellt. Administratoren müssen daher genau darauf achten, welche Quelle sie für das Update nutzen, um sicherzustellen, dass sie die korrekte und sichere Version von Samlify installieren.

Schlagwörter: Samlify + SSO + Endor Labs

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 22. Mai 2025