• Saltar a la navegación principal
  • Saltar al contenido principal
S2GRUPO

Empresa Española Especializada en Ciberseguridad

  • Empresa
    • Sobre nosotros
    • Equipo directivo
    • RSE
    • Reconocimientos
  • Especialización
    • OT Industrial
    • IT
    • OT Salud
  • Soluciones
  • I+D+i
    • I+D
    • S2X
  • Talento
  • Noticias y publicaciones
  • Contacto
  • facebook
  • twitter
  • instagram
  • linkedin
|
es arrow down
  • en
© 2025 S2 Grupo
Alertas

Vulnerabilidades críticas en One Identity 2025

02 Oct 2025

Vulnerabilidad crítica - 1 octubre

Introducción

CVE-2025-59363 afecta a la plataforma One Login de One Identity y consiste en una exposición indebida del client_secret de aplicaciones configuradas mediante OpenID Connect. El endpoint de la API GET /api/2/apps, que debería devolver solo metadatos de las aplicaciones, podía incluir también el valor del secreto de cliente tras la creación de la aplicación.

Análisis

CVE-2025-59363 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N - 7,7

CVE-2025-59363 es un error de transferencia de recursos entre ámbitos de seguridad (CWE-669): un dato sensible se mueve fuera de su ámbito seguro hacia una respuesta accesible por capas menos privilegiadas. El problema permite la divulgación de credenciales que, si son reutilizadas o mal gestionadas, facilitan la suplantación de aplicaciones y la emisión de tokens válidos, con el consiguiente riesgo para la confidencialidad y la seguridad de los sistemas integrados con el proveedor de identidad.

Versiones afectadas

Los productos de One Login antes de la versión 2025.3.0.

Recomendaciones

  • Actualizar One Identity a la versión 2025.3.0 o superior, donde esta exposición del client_secret ya fue corregida
  • Rotar los secretos de cliente (client_secret) de todas las aplicaciones OIDC para prevenir que un secreto potencialmente expuesto continúe activo
  • Limitar el acceso al endpoint vulnerable (GET Apps API v2) solamente a roles de administración de confianza y aplicar controles de acceso basados en red (listas de control de acceso, segmentos de red)

Workarounds

No hay workarounds para esta vulnerabilidad.

Referencias

  • https://onelogin.service-now.com/support?id=kb_article&sys_id=b0aad1e11bd3ea109a47ec29b04bcb72&kb_category=a0d76d70db185340d5505eea4b96199f
  • https://thehackernews.com/2025/10/onelogin-bug-let-attackers-use-api-keys.html

  • Facebook
  • Twitter
  • LinkedIn
Artículos relacionados
Vulnerabilidades críticas en Red Hat Openshift AI Service 2025
Leer más →
Vulnerabilidades críticas en Wondershare Repairlt 2025
Leer más →
Vulnerabilidades críticas en SolarWinds 2025
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día

S2GRUPO
© 2025 S2 Grupo
  • Central de prensa
  • Aviso legal
  • Política de Privacidad
  • Política de Cookies
  • Canal Ético
  • Política de Innovación