Обнаружена уязвимость в защите системы решения One Identity OneLogin для управления идентификацией и контролем доступа (IAM), которая может раскрыть конфиденциальные данные.
CVE-2025-59363 оценивается в 7,7 баллов по шкале CVSS. Проблема заключается в некорректной передаче ресурсов. Программа может нарушать установленные границы защиты и получать несанкционированный доступ к защищённым ресурсам или критичным данным.
Уязвимость позволяла злоумышленникам, имеющим действующие API, запрашивать и извлекать ключи шифрования для всех приложений OIDC внутри организации OneLogin.
Проблема возникла вследствие неверной настройки конечной точки API для вывода перечня приложений. Она возвращала больше сведений, чем было предусмотрено, включая значения "client_secret" и дополнительные метаданные относительно используемых приложений.
Атака проходит следующим образом:
1. Злоумышленник применяет действительные учетные данные для входа в систему.
2. Запрашивает токен доступа.
3. Выполняет запрос к конечной точке API для отображения полного списка приложений.
4. Извлекает секреты для имитации приложений и доступа к интегрированным сервисам.
Эксплуатируя данную уязвимость, злоумышленник мог получить полный доступ ко всем клиентам OneLogin, настроенным для работы с OIDC. Это открывало путь для дальнейших действий по расширению влияния на инфраструктуру организаций.
OneLogin оперативно отреагировал на ситуацию, выпустив обновление 2025.3.0, где исключил вывод закрытых значений "client_secret" через API.
Важно защищать API поставщиков идентификации, поскольку именно эти элементы являются фундаментом корпоративных архитектур безопасности.
CVE-2025-59363 оценивается в 7,7 баллов по шкале CVSS. Проблема заключается в некорректной передаче ресурсов. Программа может нарушать установленные границы защиты и получать несанкционированный доступ к защищённым ресурсам или критичным данным.
Уязвимость позволяла злоумышленникам, имеющим действующие API, запрашивать и извлекать ключи шифрования для всех приложений OIDC внутри организации OneLogin.
Проблема возникла вследствие неверной настройки конечной точки API для вывода перечня приложений. Она возвращала больше сведений, чем было предусмотрено, включая значения "client_secret" и дополнительные метаданные относительно используемых приложений.
Атака проходит следующим образом:
1. Злоумышленник применяет действительные учетные данные для входа в систему.
2. Запрашивает токен доступа.
3. Выполняет запрос к конечной точке API для отображения полного списка приложений.
4. Извлекает секреты для имитации приложений и доступа к интегрированным сервисам.
Эксплуатируя данную уязвимость, злоумышленник мог получить полный доступ ко всем клиентам OneLogin, настроенным для работы с OIDC. Это открывало путь для дальнейших действий по расширению влияния на инфраструктуру организаций.
OneLogin оперативно отреагировал на ситуацию, выпустив обновление 2025.3.0, где исключил вывод закрытых значений "client_secret" через API.
Важно защищать API поставщиков идентификации, поскольку именно эти элементы являются фундаментом корпоративных архитектур безопасности.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь