CVE-2025-34064

Nome do Software Vulnerável e Versões Afetadas: OneLogin AD Connector (versões afetadas não especificadas)

Descrição: Uma má configuração na infraestrutura de nuvem do OneLogin AD Connector resulta no envio de dados de log para um bucket S3 hardcoded (onelogin-adc-logs-production) sem validar a propriedade do bucket. Isso permite que um atacante que registre este bucket não reivindicado receba arquivos de log de outros tenants do OneLogin, potencialmente contendo dados sensíveis, como tokens de diretório, metadados de usuário e configuração de ambiente. Isso possibilita o vazamento de segredos entre tenants, permitindo potencialmente a recuperação da chave de assinatura JWT e a personificação de usuário.

Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.