Se ha descubierto una vulnerabilidad de severidad crítica en la librería node-SAML de JavaScript. Un actor malicioso podría evadir los mecanismos de autenticación en los sistemas objetivo.
Productos afectados
- node-saml, versiones 5.0.1 y anteriores.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-54419: con una puntuación de 10.0 en CVSS v3.1. La vulnerabilidad se debe a que node-SAML carga la aserción desde el documento de respuesta original sin verificar su firma, lo que podría permitir la modificación de los detalles de autenticación dentro de una aserción SAML válida. Un actor malicioso podría aprovechar esta vulnerabilidad para evadir los mecanismos de autenticación en los sistemas objetivo.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-54419
- https://github.com/node-saml/node-saml/security/advisories/GHSA-4mxg-3p6v-xgq3