Samlify es ampliamente utilizada por desarrolladores que integran SAML (Secure Assertion Markup Language) para la gestión de autenticación de inicio de sesión único (SSO) en aplicaciones Node.js. La biblioteca facilita la conexión con proveedores de identidad (IdP) y proveedores de servicios (SP), siendo muy popular entre plataformas SaaS y organizaciones que implementan SSO en herramientas internas. Con más de 200,000 descargas semanales en NPM, su uso es extenso.
El problema clave radica en que, aunque Samlify valida correctamente que el documento XML que proporciona la identidad de un usuario está firmado, falla al procesar afirmaciones maliciosas en partes no firmadas de ese XML. Los atacantes que obtienen una respuesta SAML firmada válida, ya sea a través de interceptación o mediante acceso a metadatos públicos, pueden manipularla, inyectando una afirmación maliciosa que contiene la identidad de un usuario objetivo, como un administrador.
El proceso sería el siguiente: el atacante toma un documento XML legítimamente firmado y lo modifica, insertando una afirmación SAML maliciosa. La firma original sigue siendo válida para la parte benigna del documento, pero la vulnerabilidad de análisis en el SP permite que la afirmación no firmada y maliciosa sea procesada. Esto resulta en un bypass completo del SSO, permitiendo a los atacantes no autorizados escalar privilegios e iniciar sesión con credenciales administrativas. Importante destacar es que esta explotación no requiere interacción del usuario ni privilegios especiales, solo acceso a una blob XML firmada válida.
Para mitigar el riesgo, se recomienda encarecidamente a los usuarios actualizarse a Samlify versión 2.10.0, lanzada recientemente. Aunque GitHub sigue ofreciendo la versión 2.9.1 como la última, NPM está facilitando de manera segura la versión 2.10.0.
A pesar de que no se han reportado casos de explotación activa de CVE-2025-47949, se aconseja a los usuarios afectados tomar medidas inmediatas para proteger sus entornos de esta grave vulnerabilidad.
El descubrimiento de esta falla resalta la importancia de mantener actualizadas las bibliotecas de seguridad en el ámbito de la autenticación y la gestión de identidades, dada la creciente sofisticación de los atacantes que buscan explotar estas vulnerabilidades críticas. Los desarrolladores deben estar al tanto de las actualizaciones y parches de seguridad, y verificar regularmente si sus tecnologías dependen de bibliotecas vulnerables. Esto incluye consultar recursos de seguridad y guías sobre las mejores prácticas de implementación de SAML, a fin de protegerse contra este tipo de ataques.
Como recomendación adicional, se sugiere que las organizaciones revisen sus configuraciones de seguridad y realicen pruebas de penetración para identificar posibles vulnerabilidades que puedan ser explotadas. La formación continua del personal en seguridad de la información también juega un papel crucial en la defensa contra ataques cibernéticos.
En resumen, la vulnerabilidad CVE-2025-47949 en Samlify representa una amenaza significativa para las organizaciones que dependen de este sistema para gestionar la autenticación en sus aplicaciones. La actualización a la versión más reciente y la implementación de prácticas de seguridad adecuadas son esenciales para mitigar este riesgo.
Enlace de la fuente, haz clic para tener más información