A equipe de segurança do GitHub revelou duas falhas graves na biblioteca open-source ruby-saml, utilizadas em sistemas de autenticação SAML (Security Assertion Markup Language). As vulnerabilidades, identificadas como CVE-2025-25291 e CVE-2025-25292, permitem que atacantes contornem proteções de autenticação e obtenham acesso a qualquer conta de uma organização alvo. As falhas afetam versões do ruby-saml anteriores à 1.12.4 e entre 1.13.0 e 1.18.0.

O problema está na forma como os analisadores XML REXML e Nokogiri interpretam os documentos XML de maneira diferente. Isso possibilita um ataque de assinatura maliciosa, onde um invasor pode criar declarações SAML falsas e se autenticar como qualquer usuário. Descobertas pelo GitHub Security Lab, as falhas foram reportadas em novembro de 2024. A Microsoft, proprietária do GitHub, alertou que cibercriminosos podem explorar essa vulnerabilidade para assumir o controle de contas corporativas.

Além dessas falhas, uma terceira vulnerabilidade foi identificada (CVE-2025-25293, CVSS 7.7), permitindo um ataque de negação de serviço (DoS) ao lidar com respostas SAML comprimidas. Diante do risco, usuários do ruby-saml são fortemente aconselhados a atualizar para as versões corrigidas (1.12.4 e 1.18.0) imediatamente. Essas falhas surgem poucos meses após outra vulnerabilidade grave (CVE-2024-45409, CVSS 10.0) ter sido corrigida no ruby-saml. A falha ressalta a importância de manter bibliotecas de autenticação atualizadas, uma vez que vulnerabilidades nesse nível podem comprometer completamente a segurança de sistemas empresariais e dados sensíveis.