CVE-2025-34062

Nome do Software Vulnerável e Versões Afetadas: Versões do OneLogin AD Connector anteriores à 6.1.5

Descrição: Existe uma vulnerabilidade de divulgação de informações através do endpoint "/api/adc/v4/configuration". Um atacante com acesso a um directory token válido pode recuperar uma resposta em texto claro divulgando credenciais sensíveis, incluindo uma chave de API, chaves de acesso e secretas da AWS IAM e uma chave de assinatura JWT codificada em base64 utilizada na configuração do IdP de SSO do tenant.

Recomendações: Para versões anteriores à 6.1.5, atualize para a versão 6.1.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint "/api/adc/v4/configuration" até que uma correção esteja disponível. Evite o uso de logs inadequadamente protegidos e garanta que as chaves de registro do host estejam devidamente protegidas para prevenir a divulgação do directory token.