2025年7月25日、Node.jsベースのSAML認証ライブラリ「Node-SAML」において、SAMLレスポンスの処理ロジックに関する重大な脆弱性(CVE-2025-54369)が発見されました。
CVSS v4における深刻度スコアは9.3(Critical)と評価されており、特にシングルサインオン(SSO)を導入している組織では即時の対応が求められます。
脆弱性の対象バージョン
Node-SAML v5.0.1以前
脆弱性の対策バージョン
修正済みバージョン:v5.1.0
npmなどでNode-SAMLを利用している環境では、即座にバージョンの確認と更新を行う必要があります。
脆弱性の概要
Node-SAMLでは、SAMLレスポンスに含まれる署名の検証自体は正常に行われます。しかし、署名済みでないオリジナル文書の内容を基にアサーションを読み込むという設計ミスが存在しました。
この仕様により、攻撃者は有効な署名を持つSAMLレスポンスを用いながら、その中のアサーション(例:ユーザー名や権限情報)を部分的に改ざんすることが可能になります。
実際の影響例:
-
ユーザー名の一部文字の削除や改変
-
特権ユーザーになりすまし
-
SSOを経由せずに意図しないログインが成立
-
ポリシー誤適用によるアクセス権逸脱
この脆弱性の悪用には、攻撃者が有効な署名済みレスポンスを取得できる環境(=IdPとの連携)が必要ですが、標的型攻撃では十分に成立し得る条件と考えられます。
脆弱性修正にあたり、開発チームは以下の2点を実施しています
-
xml-cryptoのv6.1.2へのアップグレード
→ XML署名処理に関する内部的な問題を解消 -
アサーション処理ロジックの全面見直し
→ 署名検証済みの安全なデータのみを処理対象とすることで、改ざんリスクを根絶
「今後この種の派生的な脆弱性も防止できる設計」と、リリースノートで説明されています。
参照
https://github.com/node-saml/node-saml/security/advisories/GHSA-m837-g268-mmv7






-200x200.png)

