Se ha detectado una vulnerabilidad en la biblioteca ruby-saml utilizada en aplicaciones desarrolladas en el lenguaje de programación Ruby para implementar métodos de autorización basados en SAML.
Productos afectados:
- ruby-saml versiones anteriores a 1.12.3
- ruby-saml versión 1.13.0 a 1.17.0
Impacto:
La vulnerabilidad se identifica como CVE-2024-45409: con una puntuación en CVSSv3 de 9.9 de severidad crítica. La biblioteca Ruby SAML sirve para implementar el lado del cliente de una autorización SAML. Ruby-SAML en las versiones afectadas no verifica correctamente la firma de la respuesta SAML. Un atacante no autenticado con acceso para firmar documentos SAML podría forzar a SAML a responder con contenidos arbitrarios
Recomendación:
Actualizar a la última versión disponible de la biblioteca ruby-saml, que resuelve la vulnerabilidad encontrada
Referencia:
- https://github.com/advisories/GHSA-jw9c-mfg7-9rx2
- https://github.com/SAML-Toolkits/ruby-saml/security/advisories/GHSA-jw9c-mfg7-9rx2
- https://nvd.nist.gov/vuln/detail/CVE-2024-45409