DJ-CERT - Centre gouvernementale de veille, d'alertes et de réponses aux attaques informatiques

BULLETIN D'ALERTES

Object	Vulnérabilité dans Samlify
Réference	1348
Date de Publication	2025-05-22
Sévérité	Critique

IMPACT :

Elévation de privilèges

SYSTÉME AFFECTÉ :

Samlify version 2.10.0 ou supérieure

DÉSCRIPTION :

Une vulnérabilité critique de contournement d’authentification a été identifiée dans Samlify, une bibliothèque Node.js largement utilisée pour la mise en œuvre du Single Sign-On (SSO) basé sur SAML 2.0. Référencée sous le code CVE-2025-47949 (score CVSS v4.0 : 9.9), cette faille affecte toutes les versions antérieures à la 2.10.0. Elle pourrait permettre à un attaquant distant d’obtenir des privilèges administrateur, sans interaction utilisateur ni privilèges préalables.

SOLUTION :

Mettre à jour Samlify. (se référer à la documentation)

DOCUMENTATION :

Bulletin de sécurité du 20 Mai 2025:

https://github.com/tngan/samlify/security/advisories/GHSA-r683-v43c-6xqv

CVE-2025-47949:

https://nvd.nist.gov/vuln/detail/CVE-2025-47949