CRITICAL🇬🇧 English

CVE-2025-34063

OneLogin AD Connector — pominięcie uwierzytelnienia przez wyciek klucza JWT

CVSS 10.0v4.0pub. 2025-07-01upd. 2026-04-15

Podatność w OneLogin AD Connector (przed wersją 6.1.5) umożliwia pobranie klucza podpisującego tokeny JWT (SSO signing key) przez nieuwierzytelnionego atakującego, co pozwala na podszywanie się pod dowolnego użytkownika w ramach tenantu OneLogin. Zagrożenie ma krytyczny wymiar, ponieważ skompromitowanie klucza daje pełny nieautoryzowany dostęp do całego środowiska SaaS ofiary.

Pokaż oryginał (EN)

A cryptographic authentication bypass vulnerability exists in OneLogin AD Connector prior to 6.1.5 due to the exposure of a tenant’s SSO JWT signing key via the /api/adc/v4/configuration endpoint. An attacker in possession of the signing key can craft valid JWT tokens impersonating arbitrary users within a OneLogin tenant. The tokens allow authentication to the OneLogin SSO portal and all downstream applications federated via SAML or OIDC. This allows full unauthorized access across the victim’s SaaS environment.

🤖 Analiza AI
Jak działa

Endpoint /api/adc/v4/configuration ujawnia klucz podpisujący JWT (SSO signing key) przypisany do tenantu bez wymagania uwierzytelnienia. Atakujący, który pozyska ten klucz, może samodzielnie generować prawidłowe tokeny JWT podszywające się pod dowolnego użytkownika w ramach danego tenantu OneLogin. Wygenerowane tokeny są akceptowane przez portal OneLogin SSO oraz wszystkie aplikacje zintegrowane z nim przez protokoły SAML lub OIDC. Podatność klasyfikowana jest jako CWE-290 (Authentication Bypass by Spoofing), ponieważ mechanizm weryfikacji tożsamości oparty na podpisie kryptograficznym zostaje całkowicie obejśty.

Skutki

Atakujący uzyskuje pełny, nieautoryzowany dostęp do portalu SSO i wszystkich aplikacji SaaS sfederowanych przez SAML lub OIDC w ramach tenantu ofiary, co jest równoznaczne z kompromitacją całego środowiska tożsamości organizacji. Możliwe jest podszywanie się pod dowolnego użytkownika, w tym administratorów.

Mitygacja

Należy zaktualizować OneLogin AD Connector do wersji 6.1.5 lub nowszej. Szczegóły dotyczące aktualizacji dostępne są w oficjalnym powiadomieniu producenta pod adresem: https://support.onelogin.com/product-notification/noti-00001768. Po aktualizacji zaleca się rotację skompromitowanego klucza JWT oraz audyt logów dostępu do endpointu /api/adc/v4/configuration w celu wykrycia ewentualnych nieautoryzowanych odczytów.

Kogo dotyczy

OneLogin AD Connector w wersjach wcześniejszych niż 6.1.5

Uwagi

Szczegółowy opis techniczny ścieżki ataku, w tym sposób odkrycia podatności podczas pracy z tenantami próbnymi, dostępny jest w analizie opublikowanej przez SpecterOps pod adresem: https://specterops.io/blog/2025/06/10/onelogin-many-issues-how-i-pivoted-from-a-trial-tenant-to-compromising-customer-signing-keys/

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje
CVE-2025-34063 — OneLogin AD Connector — pominięcie uwierzytelnienia przez wyciek klucza JWT — CRITICAL 10.0 | CVEbaza.pl