Vulnerabilidad en xml-crypto (CVE-2025-29775)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/03/2025
Última modificación:
15/03/2025
Descripción
xml-crypto es una librería de firma digital y cifrado XML para Node.js. Un atacante podría explotar una vulnerabilidad en versiones anteriores a la 6.0.1, 3.2.1 y 2.1.6 para eludir los mecanismos de autenticación o autorización en sistemas que dependen de xml-crypto para verificar documentos XML firmados. Esta vulnerabilidad permite a un atacante modificar un mensaje XML firmado válido de forma que aún supere las comprobaciones de verificación de firma. Por ejemplo, podría utilizarse para alterar atributos críticos de identidad o control de acceso, lo que permite a un atacante escalar privilegios o suplantar la identidad de otro usuario. Los usuarios de las versiones 6.0.0 y anteriores deben actualizar a la versión 6.0.1 para obtener una corrección. Quienes aún utilicen las versiones 2.x o 3.x deben actualizar a las versiones 2.1.6 o 3.2.1, respectivamente.
Impacto
Puntuación base 4.0
9.30
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://github.com/node-saml/xml-crypto/commit/28f92218ecbb8dcbd238afa4efbbd50302aa9aed
- https://github.com/node-saml/xml-crypto/commit/886dc63a8b4bb5ae1db9f41c7854b171eb83aa98
- https://github.com/node-saml/xml-crypto/commit/8ac6118ee7978b46aa56b82cbcaa5fca58c93a07
- https://github.com/node-saml/xml-crypto/releases/tag/v2.1.6
- https://github.com/node-saml/xml-crypto/releases/tag/v3.2.1
- https://github.com/node-saml/xml-crypto/releases/tag/v6.0.1
- https://github.com/node-saml/xml-crypto/security/advisories/GHSA-x3m8-899r-f7c3
- https://workos.com/blog/samlstorm