Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • GitHub descubre nuevas vulnerabilidades de Ruby-Saml que permiten ataques de adquisición de cuentas
  • Tecnología

GitHub descubre nuevas vulnerabilidades de Ruby-Saml que permiten ataques de adquisición de cuentas

teknomers 13 de Mart de 2025 (Last updated: 13 de Mart de 2025) 3 minutes read
GitHub descubre nuevas vulnerabilidades de Ruby-Saml que permiten ataques de


13 de marzo de 2025Ravie LakshmananAutenticación / vulnerabilidad

Se han revelado dos fallas de seguridad de alta severidad en la biblioteca Ruby-SAML de código abierto que podrían permitir a los actores maliciosos evitar las protecciones de autenticación de Lenguaje de Marca de Afirmación de Seguridad (SAML).

SAML es un lenguaje de marcado basado en XML y un estándar abierto utilizado para intercambiar datos de autenticación y autorización entre partes, habilitando características como Single Sign-On (SSO), que permite a las personas usar un solo conjunto de credenciales para acceder a múltiples sitios, servicios y aplicaciones.

Las vulnerabilidades, rastreadas como CVE-2025-25291 y CVE-2025-25292lleva una puntuación CVSS de 8.8 de 10.0. Afectan las siguientes versiones de la biblioteca –

Tanto las deficiencias se derivan de cómo REXML y Nokogiri analizan XML de manera diferente, lo que hace que los dos analizadores generen estructuras de documentos completamente diferentes a partir de la misma entrada XML

Este diferencial de analizador permite que un atacante pueda ejecutar un ataque de envoltura de firma, lo que lleva a un bypass de autenticación. Las vulnerabilidades han sido dirigido En las versiones de Ruby-Saml 1.12.4 y 1.18.0.

Ciberseguridad

Github, propiedad de Microsoft, que descubrió e informó los defectos en noviembre de 2024, dijo que los actores maliciosos podrían abusar de ellos para realizar ataques de adquisición de cuentas.

“Los atacantes que están en posesión de una sola firma válida que se creó con la clave utilizada para validar las respuestas o afirmaciones de SAML de la organización específica puede usarla para construir las afirmaciones de SAML y, a su vez, pueden iniciar sesión como cualquier usuario”, el investigador del laboratorio de seguridad de Github Peter Stöckli dicho en una publicación.

La subsidiaria propiedad de Microsoft también señaló que el problema se reduce a una “desconexión” entre la verificación del hash y la verificación de la firma, abriendo la puerta a la explotación a través de un diferencial de analizador.

Las versiones 1.12.4 y 1.18.0 también enchufan una falla remota de negación de servicio (DOS) al manejar las respuestas SAML comprimidas (CVE-2025-25293, puntaje CVSS: 7.7). Se recomienda a los usuarios que actualicen la última versión para salvaguardar contra posibles amenazas.

Los hallazgos se producen casi seis meses después de que Gitlab y Ruby-SAML se movieron para abordar otra vulnerabilidad crítica (CVE-2024-45409, puntaje CVSS: 10.0) que también podría dar lugar a un bypass de autenticación.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Número de informes de asalto o violación después de que el pico se duplicó: "alarmante"
Next: ‘Sexy Chef’ Tess es un éxito en Ibiza y su libro de cocina no tiene fotos de comida

Related Stories

La búsqueda en Windows vuelve loco, este software gratuito encuentra
  • Tecnología

La búsqueda en Windows vuelve loco, este software gratuito encuentra tus archivos incluso sin su nombre.

teknomers 7 de Temmuz de 2026
LG QNED87: ¿un MiniRGB mucho menos avanzado de lo prometido?
  • Tecnología

LG QNED87: ¿un MiniRGB mucho menos avanzado de lo prometido?

teknomers 7 de Temmuz de 2026
El reloj de entrada de Garmin baja un 25% y
  • Tecnología

El reloj de entrada de Garmin baja un 25% y se encuentra por debajo de los 200€ gracias a Amazon.

teknomers 7 de Temmuz de 2026

You May Have Missed

  • General

Psicología del gasto al recibir el salario: La psicología dice que las personas que gastan dinero a medida que lo ganan no son irresponsables: ¿Qué puede revelar este hábito de gasto?

teknomers 7 de Temmuz de 2026
«No podía terminar hoy»: Lionel Messi explica su fuerte emoción
  • Deporte

«No podía terminar hoy»: Lionel Messi explica su fuerte emoción tras la remontada de la Argentina

teknomers 7 de Temmuz de 2026
  • Deporte

Copa Mundial 2026: La furia y el desgarro del sorprendente colapso de Egipto en la Copa Mundial

teknomers 7 de Temmuz de 2026
  • General

Lecciones de vida sobre la importancia del cambio: El mejor consejo para la vida de Henry Ford: ‘Siempre que tengas la idea de que estás ‘fijo’ para la vida, mejor prepárate para un…’- Una poderosa lección de vida del industrial estadounidense que cambiará tu perspectiva sobre el éxito.

teknomers 7 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.