Pitbulk

Nome do Software Vulnerável e Versões Afetadas: versões do ruby-saml anteriores à 1.12.4 e à 1.18.0 Descrição: O problema está relacionado à biblioteca ruby-saml, que fornece single sign-on (SSO) via Security Assertion Markup Language (SAML) para Ruby. A biblioteca está suscetível a Negação de Serviço (DoS) remota com respostas SAML compactadas. Isso ocorre porque o ruby-saml utiliza zlib para descompactar respostas SAML, e é possível contornar a verificação de tamanho da mensagem com uma asserção compactada, uma vez que o tamanho da mensagem é verificado antes da descompressão e não após. Isso pode levar a uma Negação de Serviço (DoS) remota. Recomendações: Para resolver o problema, atualize para a versão 1.12.4 ou 1.18.0, ou superior, da biblioteca ruby-saml. Como medida de contorno temporária, considere desativar o uso de respostas SAML compactadas até que um patch esteja disponível. Restrinja o acesso à biblioteca ruby-saml vulnerável para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do ruby-saml anteriores a 1.12.4 e 1.18.0 **Descrição** Uma vulnerabilidade de bypass de autenticação foi encontrada no ruby-saml devido a uma discrepância entre os parsers. ReXML e Nokogiri interpretam XML de maneira diferente, gerando estruturas de documento completamente distintas a partir da mesma entrada XML. Isso permite que um atacante execute um ataque de Signature Wrapping, o que pode levar ao bypass de autenticação. **Recomendações** Para resolver o problema, atualize para a versão 1.12.4 ou 1.18.0, pois essas versões contêm uma correção para a vulnerabilidade. Para versões anteriores a 1.12.4 e 1.18.0, considere desativar os parsers ReXML e Nokogiri até que uma correção seja aplicada. Restrinja o acesso ao endpoint de autenticação SAML para minimizar o risco de exploração.