Vulnerabilidad en RobotsAndPencils go-saml (CVE-2023-48703)

RobotsAndPencils go-saml, una librería cliente SAML escrita en Go, contiene una vulnerabilidad de omisión de autenticación en todas las versiones conocidas. Esto se debe a cómo se llama internamente a la herramienta de línea de comando `xmlsec1` para verificar la firma de las aserciones SAML. Cuando se utiliza `xmlsec1` sin definir los datos de la clave habilitada, desafortunadamente el origen de la clave pública para la verificación de la firma no está restringido. Eso significa que un atacante puede firmar las afirmaciones SAML por sí mismo y proporcionar la clave pública requerida (por ejemplo, una clave RSA) directamente integrada en el token SAML. Los proyectos que todavía usan RobotsAndPencils/go-saml deben trasladarse a otra librería SAML o, alternativamente, eliminar la compatibilidad con SAML de sus proyectos. Es probable que la vulnerabilidad pueda solucionarse temporalmente bifurcando el proyecto go-saml y agregando el argumento de línea de comando `--enabled-key-data` y especificando un valor como `x509` o `raw-x509-cert` al llamar al ` xmlsec1` binario en la función de verificación. Tenga en cuenta que esta workaround se debe probar cuidadosamente antes de poder utilizarla.