Vulnerabilidad en Ruby SAML (CVE-2025-54572)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-400 Consumo de recursos no controlado (Agotamiento de recursos)

Fecha de publicación:

30/07/2025

Última modificación:

31/07/2025

Descripción

La librería Ruby SAML permite implementar el lado cliente de una autorización SAML. En las versiones 1.18.0 y anteriores, existe una vulnerabilidad de denegación de servicio en ruby-saml, incluso con la opción message_max_bytesize configurada. Esta vulnerabilidad se produce porque la respuesta SAML se valida para el formato Base64 antes de verificar el tamaño del mensaje, lo que puede provocar un agotamiento de recursos. Esto se solucionó en la versión 1.18.1.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.90 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Bajo
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

6.90

Gravedad 4.0

MEDIA

Vulnerabilidad en Ruby SAML (CVE-2025-54572)

Descripción

Impacto

Referencias a soluciones, herramientas e información