Alert GCSA-25096 - Vulnerabilita' critica in node-SAML per Node.js

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256





******************************************************************

Alert ID: GCSA-25096
Data: 4 Agosto 2025
Titolo: Vulnerabilita' critica in node-SAML per Node.js

******************************************************************


:: Descrizione del problema

E' stata riscontrata una vulnerabilita' critica in node-SAML, la libreria SAML di Node.js,
utilizzata da alcuni Service Provider (SP) per l'autenticazione federata.

La vulnerabilita' consente di evitare la verifica della firma di una asserzione, rendendo
possibile modificare qualsiasi asserzione ritenuta valida, in una malevola.
Per esempio e' possibile modificare uno username da una asserzione gia' ritenuta valida.


:: Software interessato

node-saml (npm) versione 5.0.1 e inferiori


:: Impatto

Authentication bypass


:: Soluzioni

Aggiornare node-saml alla versione 5.1.0



:: Riferimenti

Node-SAML github
https://github.com/node-saml/node-saml/security/advisories/GHSA-4mxg-3p6v-xgq3

CSIRT Italia
https://www.acn.gov.it/portale/w/aggiornamenti-per-node-saml

Mitre CVE
https://www.cve.org/CVERecord?id=CVE-2025-54419



GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert




-----BEGIN PGP SIGNATURE-----

iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCaJCAWwAKCRDBnEyTZRJg
Qv6OAJ9TN1uEEe5A/Vzz/M0qChLXu0iHAACgnIo2b/aChm1ftydKabo1LDRF6M4=
=wsOz
-----END PGP SIGNATURE-----