安全简讯（2024.09.13）

文章预览

1. Ruby-SAML库曝漏洞CVE-2024-45409，危及身份验证安全 9月11日，Ruby-SAML库作为实施SAML（安全断言标记语言）授权的重要工具，近期被曝出严重安全漏洞CVE-2024-45409，其CVSS评分高达10，表明其极高的危害性。此漏洞存在于Ruby-SAML的多个版本中，主要因XPath选择器错误导致，使得SAML响应的签名验证失效。SAML作为单点登录（SSO）的核心协议，其签名完整性的缺失直接威胁到系统的安全性。攻击者无需身份验证，仅通过伪造或篡改包含任意数据的SAML响应，即可轻松绕过身份验证机制，假冒任何用户身份登录系统，从而获取对敏感数据和关键系统的未授权访问权限。这一漏洞的广泛影响不容忽视，因为众多组织依赖SAML身份验证来保障应用访问安全，一旦遭到利用，将可能导致用户数据泄露和企业资产受损。提醒所有Ruby-SAML用户立即采取行动，更新至最新安全版 ………………………………