CRITICAL🇬🇧 English

CVE-2026-31957

Himmelblau: brak ograniczenia do tenanta przy uwierzytelnianiu Entra ID

CVSS 10.0v3.1pub. 2026-03-11upd. 2026-03-16

Himmelblau w wersjach od 3.0.0 do 3.1.0 (wyłącznie) nie ogranicza uwierzytelniania do skonfigurowanego tenanta, jeśli domena tenanta nie została zdefiniowana w pliku himmelblau.conf. Stanowi to poważne zagrożenie w środowiskach z uwierzytelnianiem zdalnym, ponieważ atakujący może uwierzytelnić się przy użyciu dowolnej domeny Entra ID.

Pokaż oryginał (EN)

Himmelblau is an interoperability suite for Microsoft Azure Entra ID and Intune. From 3.0.0 to before 3.1.0, if Himmelblau is deployed without a configured tenant domain in himmelblau.conf, authentication is not tenant-scoped. In this mode, Himmelblau can accept authentication attempts for arbitrary Entra ID domains by dynamically registering providers at runtime. This behavior is intended for initial/local bootstrap scenarios, but it can create risk in remote authentication environments. This vulnerability is fixed in 3.1.0.

🤖 Analiza AI
Jak działa

Gdy w konfiguracji himmelblau.conf nie zostanie podana domena tenanta, Himmelblau przechodzi w tryb ogólny, w którym dynamicznie rejestruje providerów uwierzytelniania w trakcie działania systemu. W tym trybie system akceptuje próby uwierzytelniania dla dowolnych domen Microsoft Entra ID, bez weryfikacji, czy dana domena należy do oczekiwanego tenanta organizacji. Zachowanie to zostało zaprojektowane wyłącznie na potrzeby wstępnej konfiguracji i scenariuszy lokalnych (bootstrap), jednak pozostawione aktywne w środowisku produkcyjnym staje się podatnością.

Skutki

Atakujący z dostępem sieciowym do systemu może uwierzytelnić się przy użyciu konta z dowolnej domeny Microsoft Entra ID, potencjalnie uzyskując nieautoryzowany dostęp do zasobów systemu. Przy maksymalnym wyniku CVSS 10.0 (wpływ na poufność, integralność i dostępność oraz zmieniony zakres) konsekwencje mogą obejmować pełne przejęcie kontroli nad systemem.

Mitygacja

Należy zaktualizować Himmelblau do wersji 3.1.0 lub nowszej. Dodatkowo należy upewnić się, że w pliku himmelblau.conf jest poprawnie skonfigurowana domena tenanta, co ogranicza uwierzytelnianie wyłącznie do właściwego tenanta Entra ID.

Kogo dotyczy

Himmelblau w wersjach od 3.0.0 do 3.1.0 (wyłącznie), wdrożony bez skonfigurowanej domeny tenanta w pliku himmelblau.conf.

Uwagi

Podatność dotyczy wyłącznie instalacji, w których nie skonfigurowano domeny tenanta w himmelblau.conf. Tryb bez ograniczenia tenanta był celowo zaprojektowany do scenariuszy bootstrap, co może utrudnić wykrycie niewłaściwej konfiguracji. Szczegóły dostępne w repozytorium GitHub projektu.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Himmelblau Idm Himmelblau

    APP
    Himmelblau-Idm
    < 3.1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-31979HIGH8.8ten sam produkt

Himmelblau is an interoperability suite for Microsoft Azure Entra ID and Intune. Prior to 3.1.0 and 2.3.8, the...

CVE-2025-54882HIGH7.1ten sam produkt

Himmelblau is an interoperability suite for Microsoft Azure Entra ID and Intune. In versions 0.8.0 through 0.9...

CVE-2026-34397MEDIUM6.3ten sam produkt

Himmelblau is an interoperability suite for Microsoft Azure Entra ID and Intune. From versions 2.0.0-alpha to ...