Se ha revelado una rotura de seguridad de adhesión severidad en la posibilidad de diligencia de identidad y diligencia de acercamiento de OneLogin de identidad (IAM) que, si se explota con éxito, podría exponer secretos del cliente de aplicación OpenID Connect (OIDC) sensibles bajo ciertas circunstancias.
La vulnerabilidad, rastreada como CVE-2025-59363se le ha asignado un puntaje CVSS de 7.7 de 10.0. Se ha descrito como un caso de transferencia de posibles incorrectos entre las esferas (CWE-669), lo que hace que un software cruce los límites de seguridad y obtenga acercamiento no facultado a datos o funciones confidenciales.
CVE-2025-59363 «permitió a los atacantes con credenciales de API válidas para enumerar y recuperar secretos del cliente para todas las aplicaciones OIDC adentro del inquilino OneLogin de una ordenamiento», dijo Clutch Security en un referencia compartido con The Hacker News.
La seguridad de la identidad dijo que el problema proviene del hecho de que el punto final de la serie de aplicaciones -/API/2/APPS – se configuró para devolver más datos de los esperados, incluidos los títulos Client_Secret en la respuesta API anejo con los metadatos relacionados con las aplicaciones en una cuenta OneLogin.
Los pasos para extraer el ataque se enumeran a continuación –
- El atacante utiliza credenciales de API de Onelogin válidas (ID de cliente y secreto) para autenticar
- Solicitar el token de acercamiento
- Llame al punto final/API/2/Apps para enumerar todas las aplicaciones
- Analice la respuesta para recuperar secretos del cliente para todas las aplicaciones OIDC
- Utilice los secretos del cliente extraídos para hacerse producirse por aplicaciones y lograr a los servicios integrados
La explotación exitosa de la rotura podría permitir a un atacante con credenciales de API de OneLogin válidas para recuperar los secretos del cliente para todas las aplicaciones OIDC configuradas adentro de un inquilino OneLogin. Armado con este acercamiento, el actor de amenaza podría utilizar el secreto expuesto para hacerse producirse por los usuarios y obtener acercamiento a otras aplicaciones, ofreciendo oportunidades para el movimiento fronterizo.
El control de acercamiento basado en roles (RBAC) de Onelogin otorga claves API Keys Access amplios de punto final, lo que significa que las credenciales comprometidas podrían estilarse para lograr a puntos finales confidenciales en toda la plataforma. Por otra parte, los asuntos compuestos es la desidia de la serie de la serie de la dirección IP, como resultado de lo cual es posible que los atacantes exploten el defecto de cualquier parte del mundo, señaló Embloutch.
A posteriori de la divulgación responsable el 18 de julio de 2025, la vulnerabilidad se abordó en OneLogin 2025.3.0, que se lanzó el mes pasado al hacer que los títulos OIDC Client_Secret ya no sean visibles. No hay evidencia de que el problema haya sido explotado en la naturaleza.
«Proteger a nuestros clientes es nuestra máxima prioridad, y apreciamos la divulgación responsable de la seguridad de embrague», dijo a The Hacker News Stuart Sharp, vicepresidente de productos de una identidad para OneLogin. «La vulnerabilidad informada se resolvió adentro de un plazo moderado con el emanación de Onelogin 2025.3.0. Hasta donde sabemos, esta vulnerabilidad no afectó a los clientes».
«Los proveedores de identidad sirven como la columna vertebral de la cimentación de seguridad empresarial», dijo Clutch Security. «Las vulnerabilidades en estos sistemas pueden tener bienes en cascada en pilas de tecnología enteras, lo que hace que la rigurosa seguridad de la API sea esencial».
