Một lỗ hổng bảo mật nghiêm trọng đã được công bố trong giải pháp Identity and Access Management (IAM) của One Identity OneLogin, nếu bị khai thác thành công, có thể làm lộ các client secrets nhạy cảm của ứng dụng OpenID Connect (OIDC) trong một số trường hợp nhất định.
Lỗ hổng này, được theo dõi là CVE-2025-59363, đã được gán điểm CVSS là 7.7 trên 10.0. Nó được mô tả là một trường hợp chuyển giao tài nguyên không chính xác giữa các phạm vi (CWE-669), khiến chương trình vượt qua các ranh giới bảo mật và truy cập trái phép vào dữ liệu hoặc chức năng bảo mật.
CVE-2025-59363 "cho phép kẻ tấn công có API credentials hợp lệ liệt kê và truy xuất client secrets cho tất cả các ứng dụng OIDC trong một OneLogin tenant của tổ chức," Clutch Security cho biết trong một báo cáo được chia sẻ với The Hacker News.
Công ty bảo mật danh tính cho biết vấn đề xuất phát từ việc endpoint liệt kê ứng dụng – /api/2/apps – được cấu hình để trả về nhiều dữ liệu hơn dự kiến, bao gồm các giá trị client_secret trong phản hồi API cùng với siêu dữ liệu liên quan đến các ứng dụng trong tài khoản OneLogin.
Các Bước Thực Hiện Tấn Công
- Kẻ tấn công sử dụng API credentials hợp lệ của OneLogin (client ID và secret) để xác thực.
- Yêu cầu access token.
- Gọi endpoint /api/2/apps để liệt kê tất cả các ứng dụng.
- Phân tích phản hồi để truy xuất client secrets cho tất cả các ứng dụng OIDC.
- Sử dụng các client secrets đã trích xuất để mạo danh ứng dụng và truy cập các dịch vụ tích hợp.
Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công có API credentials OneLogin hợp lệ truy xuất client secrets cho tất cả các ứng dụng OIDC được cấu hình trong một OneLogin tenant. Với quyền truy cập này, kẻ tấn công có thể lợi dụng secret bị lộ để mạo danh người dùng và truy cập các ứng dụng khác, tạo cơ hội cho lateral movement.
Role-based access control (RBAC) của OneLogin cấp cho các API keys quyền truy cập endpoint rộng rãi, có nghĩa là các credentials bị lộ có thể được sử dụng để truy cập các endpoint nhạy cảm trên toàn bộ nền tảng. Vấn đề càng trở nên phức tạp hơn do thiếu IP address allowlisting, kết quả là kẻ tấn công có thể khai thác lỗ hổng từ bất cứ đâu trên thế giới, Clutch lưu ý.
Sau khi được tiết lộ một cách có trách nhiệm vào ngày 18 tháng 7 năm 2025, lỗ hổng đã được khắc phục trong OneLogin 2025.3.0, được phát hành vào tháng trước bằng cách làm cho các giá trị OIDC client_secret không còn hiển thị. Không có bằng chứng nào cho thấy vấn đề này đã từng bị khai thác trong thực tế.
"Các nhà cung cấp danh tính đóng vai trò xương sống của kiến trúc bảo mật doanh nghiệp," Clutch Security cho biết. "Các lỗ hổng trong các hệ thống này có thể gây ra hiệu ứng dây chuyền trên toàn bộ các technology stacks, khiến bảo mật API nghiêm ngặt trở nên thiết yếu."
