Se han identificado vulnerabilidades críticas de bypass de autenticación en la biblioteca ruby-saml, que afectan a todas las versiones hasta la 1.17.0. Estas vulnerabilidades, catalogadas como CVE-2025-25291 y CVE-2025-25292, permitían que atacantes con una firma válida, generada con la clave de validación de una organización, pudieran crear sus propias afirmaciones SAML. Esto les concedía la capacidad de autenticarse como cualquier usuario, lo que representa un riesgo significativo de toma de control de cuentas.
Se insta a los usuarios de ruby-saml a actualizar sus sistemas a la versión 1.18.0 para mitigar estos riesgos. Las bibliotecas que dependen de ruby-saml, como omniauth-saml, también deben actualizarse a las versiones que integren la corrección. Aunque GitHub no emplea ruby-saml para su autenticación, había considerado volver a utilizar esta biblioteca de código abierto para implementar SAML. Sin embargo, una instancia de esta vulnerabilidad fue explotada en GitLab, lo que llevó a GitHub a hacer recomendaciones de seguridad a sus desarrolladores.
GitHub había abandonado el uso de ruby-saml en 2014, desarrollando su propio sistema de autenticación SAML. A partir de octubre de 2024, tras detectar un bypass de autenticación identificado como CVE-2024-45409 en ruby-saml, inició una investigación integral de su seguridad. GitHub lanzó un programa de recompensas por errores, invitando a investigadores a probar entornos que utilizaban ruby-saml, con el objetivo de incrementar la seguridad.
Durante la revisión del código, se descubrió que ruby-saml utilizaba dos analizadores XML diferentes en su estructura de verificación de firmas: REXML y Nokogiri. Esta dualidad de analizadores podría provocar la validación incorrecta de firmas, generando un bypass de autenticación por diferencias en la interpretación de los mismos datos.
Para explotar esta vulnerabilidad, se analizaron minuciosamente los analizadores para encontrar discrepancias que pudieran ser aprovechadas. Se identificó que los atacantes podrían emplear una firma válida para suplantar a cualquier usuario. Como medida preventiva, se recomienda que las organizaciones revisen sus registros de inicio de sesión para detectar actividades sospechosas de IPs inusuales.
Este hallazgo resalta los desafíos persistentes en la implementación segura de SAML. Más allá de las actualizaciones necesarias en las bibliotecas afectadas, es crucial prestar atención continua a las prácticas de manejo y seguridad en el desarrollo de software para evitar vulnerabilidades similares en el futuro.
