CVE-2025-46573

Nome do Software Vulnerável e Versões Afetadas passport-wsfed-saml2 versões 3.0.5 a 4.6.3

Descrição Uma vulnerabilidade no passport-wsfed-saml2 permite que um atacante se passe por qualquer usuário durante a autenticação SAML ao adulterar uma resposta SAML válida. Isso pode ser feito adicionando atributos à resposta. Os usuários são afetados quando o provedor de serviço utiliza passport-wsfed-saml2 e uma Resposta SAML válida assinada pelo Provedor de Identidade pode ser obtida.

Recomendações Para as versões 3.0.5 a 4.6.3, atualize para a versão 4.6.4 para resolver o problema. Como medida temporária, considere restringir o uso do recurso de autenticação SAML até que a atualização seja aplicada. Evite utilizar a estratégia passport-wsfed-saml2 para o protocolo SAML2 até que o problema seja resolvido.