Se ha revelado una defecto de seguridad de entrada severidad en la alternativa de mandato de identidad y mandato de entrada de OneLogin de identidad (IAM) que, si se explota con éxito, podría exponer secretos del cliente de aplicación OpenID Connect (OIDC) sensibles bajo ciertas circunstancias.
La vulnerabilidad, rastreada como CVE-2025-59363se le ha asignado un puntaje CVSS de 7.7 de 10.0. Se ha descrito como un caso de transferencia de capital incorrectos entre las esferas (CWE-669), lo que hace que un software cruce los límites de seguridad y obtenga entrada no competente a datos o funciones confidenciales.
CVE-2025-59363 “permitió a los atacantes con credenciales de API válidas para enumerar y recuperar secretos del cliente para todas las aplicaciones OIDC adentro del inquilino OneLogin de una ordenamiento”, dijo Clutch Security en un referencia compartido con The Hacker News.
La seguridad de la identidad dijo que el problema proviene del hecho de que el punto final de la registro de aplicaciones -/API/2/APPS – se configuró para devolver más datos de los esperados, incluidos los títulos Client_Secret en la respuesta API pegado con los metadatos relacionados con las aplicaciones en una cuenta OneLogin.
Los pasos para extraer el ataque se enumeran a continuación –
- El atacante utiliza credenciales de API de Onelogin válidas (ID de cliente y secreto) para autenticar
- Solicitar el token de entrada
- Llame al punto final/API/2/Apps para enumerar todas las aplicaciones
- Analice la respuesta para recuperar secretos del cliente para todas las aplicaciones OIDC
- Utilice los secretos del cliente extraídos para hacerse advenir por aplicaciones y obtener a los servicios integrados
La explotación exitosa de la defecto podría permitir a un atacante con credenciales de API de OneLogin válidas para recuperar los secretos del cliente para todas las aplicaciones OIDC configuradas adentro de un inquilino OneLogin. Armado con este entrada, el actor de amenaza podría beneficiarse el secreto expuesto para hacerse advenir por los usuarios y obtener entrada a otras aplicaciones, ofreciendo oportunidades para el movimiento limítrofe.
El control de entrada basado en roles (RBAC) de Onelogin otorga claves API Keys Access amplios de punto final, lo que significa que las credenciales comprometidas podrían estar de moda para obtener a puntos finales confidenciales en toda la plataforma. Adicionalmente, los asuntos compuestos es la desidia de la registro de la registro de la dirección IP, como resultado de lo cual es posible que los atacantes exploten el defecto de cualquier parte del mundo, señaló Embloutch.
Luego de la divulgación responsable el 18 de julio de 2025, la vulnerabilidad se abordó en OneLogin 2025.3.0, que se lanzó el mes pasado al hacer que los títulos OIDC Client_Secret ya no sean visibles. No hay evidencia de que el problema haya sido explotado en la naturaleza.
“Proteger a nuestros clientes es nuestra máxima prioridad, y apreciamos la divulgación responsable de la seguridad de embrague”, dijo a The Hacker News Stuart Sharp, vicepresidente de productos de una identidad para OneLogin. “La vulnerabilidad informada se resolvió adentro de un plazo legítimo con el dispersión de Onelogin 2025.3.0. Hasta donde sabemos, esta vulnerabilidad no afectó a los clientes”.
“Los proveedores de identidad sirven como la columna vertebral de la edificación de seguridad empresarial”, dijo Clutch Security. “Las vulnerabilidades en estos sistemas pueden tener mercancía en cascada en pilas de tecnología enteras, lo que hace que la rigurosa seguridad de la API sea esencial”.
