Se ha revelado una falla de seguridad de alta severidad en la solución de gestión de identidad y gestión de acceso de OneLogin de identidad (IAM) que, si se explota con éxito, podría exponer OpenID Connect (Oidc) Secretos del cliente de aplicación bajo ciertas circunstancias.
La vulnerabilidad, rastreada como CVE-2025-59363se le ha asignado un puntaje CVSS de 7.7 de 10.0. Se ha descrito como un caso de transferencia de recursos incorrecta entre las esferas (CWE-669), que hace que un programa cruce los límites de seguridad y obtenga acceso no autorizado a datos o funciones confidenciales.
CVE-2025-59363 «permitió a los atacantes con credenciales de API válidas para enumerar y recuperar secretos del cliente para todas las aplicaciones OIDC dentro del inquilino de la allelogina de una organización,» Embrague Security dicho En un informe compartido con The Hacker News.
La seguridad de la identidad dijo que el problema proviene del hecho de que el punto final de la lista de aplicaciones – /API/2/aplicaciones – se configuró para devolver más datos de los esperados, incluidos los valores Client_Secret en la respuesta de la API junto con los metadatos relacionados con las aplicaciones en una cuenta de OneLogin.
Los pasos para extraer el ataque se enumeran a continuación –
- El atacante utiliza credenciales de API de Onelogin válidas (ID de cliente y secreto) para autenticar
- Solicitar el token de acceso
- Llame al punto final/API/2/Apps para enumerar todas las aplicaciones
- Analice la respuesta para recuperar secretos del cliente para todas las aplicaciones OIDC
- Utilice los secretos del cliente extraídos para hacerse pasar por aplicaciones y acceder a los servicios integrados
La explotación exitosa de la falla podría permitir a un atacante con credenciales de API de OneLogin válidas para recuperar los secretos del cliente para todas las aplicaciones OIDC configuradas dentro de un inquilino OneLogin. Armado con este acceso, el actor de amenaza podría aprovechar el secreto expuesto para hacerse pasar por los usuarios y obtener acceso a otras aplicaciones, ofreciendo oportunidades para el movimiento lateral.
El control de acceso basado en roles (RBAC) de Onelogin otorga claves API Keys Access amplios de punto final, lo que significa que las credenciales comprometidas podrían usarse para acceder a puntos finales confidenciales en toda la plataforma. Además, los asuntos compuestos es la falta de la lista de la lista de la dirección IP, como resultado de lo cual es posible que los atacantes exploten el defecto de cualquier parte del mundo, señaló Embloutch.
Después de la divulgación responsable el 18 de julio de 2025, la vulnerabilidad se abordó en Onelogin 2025.3.0que se lanzó el mes pasado al hacer que los valores OIDC Client_Secret ya no sean visibles. No hay evidencia de que el problema haya sido explotado en la naturaleza.
«Proteger a nuestros clientes es nuestra máxima prioridad, y apreciamos la divulgación responsable de la seguridad de embrague», dijo a The Hacker News Stuart Sharp, vicepresidente de productos de una identidad para OneLogin. «La vulnerabilidad informada se resolvió dentro de un plazo razonable con el lanzamiento de Onelogin 2025.3.0. Hasta donde sabemos, esta vulnerabilidad no afectó a los clientes».
«Los proveedores de identidad sirven como la columna vertebral de la arquitectura de seguridad empresarial», dijo Clutch Security. «Las vulnerabilidades en estos sistemas pueden tener efectos en cascada en pilas de tecnología enteras, lo que hace que la rigurosa seguridad de la API sea esencial».
Fuente