Uma falha de segurança grave foi descoberta na solução Identity and Access Management (IAM) One Identity OneLogin, que, se explorada com sucesso, pode expor segredos sensíveis de clientes OpenID Connect (OIDC) em determinadas situações.
Identificada como
CVE-2025-59363
, a vulnerabilidade recebeu uma pontuação CVSS de 7,7 em 10,0.
Trata-se de um problema classificado como incorrect resource transfer between spheres (CWE-669), que permite a um programa atravessar barreiras de segurança e acessar dados ou funções confidenciais de forma não autorizada.
De acordo com o relatório da Clutch Security, obtido pelo The Hacker News,
CVE-2025-59363
“permitiu que invasores com credenciais válidas da API enumerassem e recuperassem os client secrets de todas as aplicações OIDC dentro do tenant OneLogin de uma organização”.
O incidente tem origem no endpoint de listagem de aplicações – /api/2/apps – que estava configurado para retornar mais informações do que o esperado, incluindo os valores de client_secret na resposta da API, junto com metadados relacionados às aplicações da conta OneLogin.
Veja abaixo o passo a passo do ataque:
1. O invasor utiliza credenciais válidas da API OneLogin (client ID e client secret) para autenticação.
2. Solicita um access token.
3. Faz uma chamada ao endpoint /api/2/apps para listar todas as aplicações.
4. Analisa a resposta para extrair os client secrets de todas as aplicações OIDC.
5. Utiliza os client secrets obtidos para se passar pelas aplicações e acessar serviços integrados.
A exploração bem-sucedida dessa falha permite que um atacante, com credenciais válidas da API, recupere os client secrets de todas as aplicações OIDC configuradas no tenant OneLogin.
Com essas informações, o invasor pode se passar por usuários e acessar outras aplicações, facilitando movimentos laterais dentro da rede.
Além disso, o controle de acesso baseado em função (RBAC) do OneLogin concede às chaves de API um amplo acesso aos endpoints, o que significa que as credenciais comprometidas podem ser usadas para acessar partes sensíveis da plataforma.
A situação piora pela ausência de allowlisting de endereços IP, possibilitando que os ataques sejam realizados de qualquer lugar do mundo, destaca a Clutch.
Após a divulgação responsável em 18 de julho de 2025, a vulnerabilidade foi corrigida na versão OneLogin 2025.3.0, lançada no mês passado, que passou a ocultar os valores de client_secret do OIDC.
Até o momento, não há evidências de que o problema tenha sido explorado em ambientes reais.
“Os provedores de identidade são a espinha dorsal da arquitetura de segurança corporativa”, afirma a Clutch Security.
“Falhas nesses sistemas podem provocar efeitos em cascata por toda a infraestrutura tecnológica, tornando a segurança rigorosa das APIs uma prioridade indispensável.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...