SAML-Toolkits ruby-saml до 1.12.3/1.17.x ReXML/Nokogiri слабая аутентификация

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
8.4$0-$5k0.80

СводкаИнформация

Обнаружена уязвимость, классифицированная как критический, в SAML-Toolkits ruby-saml до 1.12.3/1.17.x. Неизвестная функция компонента ReXML/Nokogiri затронута. Осуществление манипуляции приводит к слабая аутентификация. Данная уязвимость известна под идентификатором CVE-2025-25292. Атаку можно провести дистанционно. Эксплойт недоступен. Рекомендуется выполнить обновление уязвимого компонента.

ПодробностиИнформация

Обнаружена уязвимость, классифицированная как критический, в SAML-Toolkits ruby-saml до 1.12.3/1.17.x. Неизвестная функция компонента ReXML/Nokogiri затронута. Осуществление манипуляции приводит к слабая аутентификация. Определение CWE для уязвимости следующее CWE-347. Информация о слабости была опубликована под номером GHSA-754f-8gm6-c4r2. Уведомление опубликовано для скачивания на github.com.

Данная уязвимость известна под идентификатором CVE-2025-25292. Присвоение CVE было выполнено 06.02.2025. Атаку можно провести дистанционно. Технические детали недоступны. Уровень популярности этой уязвимости ниже среднего значения. Эксплойт недоступен. На данный момент актуальная стоимость эксплойта может быть около USD $0-$5k.

Присвоено значение Не определено. Сканер Nessus предлагает плагин с идентификатором 232721.

Обновление до версии 1.12.4 и 1.18.0 позволяет устранить данную проблему. Обновление можно загрузить с сайта about.gitlab.com. Название патча следующее e76c5b36bac40aedbf1ba7ffaaf495be63328cd9. Исправление уже готово и доступно для скачивания на github.com. Рекомендуется выполнить обновление уязвимого компонента.

Информация об уязвимости также содержится в других базах данных уязвимостей: Tenable (232721).

ПродуктИнформация

Тип

Поставщик

Имя

Версия

Лицензия

Веб-сайт

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CNA CVSS-B Score: 🔍
CNA CVSS-BT Score: 🔍
CNA Вектор: 🔍

CVSSv3Информация

VulDB Meta Base Score: 8.5
VulDB Meta Temp Score: 8.4

VulDB Базовый балл: 7.3
VulDB Временная оценка: 7.0
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 9.8
NVD Вектор: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

ЭксплуатацияИнформация

Класс: слабая аутентификация
CWE: CWE-347 / CWE-345
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Статус: Не определено

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

Nessus ID: 232721
Nessus Имя: FreeBSD : Gitlab -- Vulnerabilities (a435609c-ffd5-11ef-b4e4-2cf05da270f3)

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

0-дневное время: 🔍

Обновление: ruby-saml 1.12.4/1.18.0
Патч: e76c5b36bac40aedbf1ba7ffaaf495be63328cd9

ХронологияИнформация

06.02.2025 🔍
13.03.2025 +35 дни 🔍
13.03.2025 +0 дни 🔍
12.09.2025 +183 дни 🔍

ИсточникиИнформация

Продукт: github.com

Консультация: GHSA-754f-8gm6-c4r2
Статус: Подтверждённый

CVE: CVE-2025-25292 (🔍)
GCVE (CVE): GCVE-0-2025-25292
GCVE (VulDB): GCVE-100-299596
EUVD: 🔍

ВходИнформация

Создано: 13.03.2025 02:40
Обновлено: 12.09.2025 22:44
Изменения: 13.03.2025 02:40 (71), 13.03.2025 09:56 (1), 14.03.2025 11:38 (1), 14.03.2025 19:27 (2), 01.08.2025 16:57 (11), 12.09.2025 22:44 (1)
Завершенный: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

Обсуждение

Комментариев пока нет. Языки: ru + be + en.

Пожалуйста, войдите в систему, чтобы прокомментировать.

ПредыдущийОбзорДалее

Might our Artificial Intelligence support you?

Check our Alexa App!