Vulnerabilidades críticas en One Identity 2025
Vulnerabilidad crítica - 1 octubre
Introducción
CVE-2025-59363 afecta a la plataforma One Login de One Identity y consiste en una exposición indebida del client_secret de aplicaciones configuradas mediante OpenID Connect. El endpoint de la API GET /api/2/apps, que debería devolver solo metadatos de las aplicaciones, podía incluir también el valor del secreto de cliente tras la creación de la aplicación.
Análisis
CVE-2025-59363 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N - 7,7
CVE-2025-59363 es un error de transferencia de recursos entre ámbitos de seguridad (CWE-669): un dato sensible se mueve fuera de su ámbito seguro hacia una respuesta accesible por capas menos privilegiadas. El problema permite la divulgación de credenciales que, si son reutilizadas o mal gestionadas, facilitan la suplantación de aplicaciones y la emisión de tokens válidos, con el consiguiente riesgo para la confidencialidad y la seguridad de los sistemas integrados con el proveedor de identidad.
Versiones afectadas
Los productos de One Login antes de la versión 2025.3.0.
Recomendaciones
- Actualizar One Identity a la versión 2025.3.0 o superior, donde esta exposición del client_secret ya fue corregida
- Rotar los secretos de cliente (client_secret) de todas las aplicaciones OIDC para prevenir que un secreto potencialmente expuesto continúe activo
- Limitar el acceso al endpoint vulnerable (GET Apps API v2) solamente a roles de administración de confianza y aplicar controles de acceso basados en red (listas de control de acceso, segmentos de red)
Workarounds
No hay workarounds para esta vulnerabilidad.