Sunt duas sas vulnerabilidades, agatadas dae su grupu de chirca Shielder, in sas librerias .NET isvilupadas dae tertzas partes e impreadas in aplicativos pro sas protzeduras de autenticatzione a servìtzios online cun Spid (Sistema pùblicu de identidade digitale) e Cie (Carta de identitade eletrònica). Gràtzias a sas librerias in chistione (isvilupadas in su 2017 in unu disafiu promòvidu dae su Dipartimentu pro sa trasformatzione digitale), sos provider podent integrare cun fatzilidade su sistema de atzessu a sos sitos issoro sena bisòngiu de iscrìere su còdighe dae cumintzu.
Custas fartas (CVE-2025-24894 e CVE-2025-24895) las at agatadas, comente naradu subra, su grupu de chirca Shielder chi, in presse, las at signaladas a su CERT-AgId. Fartas chi permitiant a sos malintentzionados de impersonificare sos utentes legìtimos isfrutende sa debilesa de su SAML (su protocollo Security Assertion Markup Language). Graves sas cunsighèntzias chi podimus immaginare.
Iscobertas sas vulnerabilidades, sos isvilupadores de CERT-AgID ant agiornadu duas librerias cun versiones noas e seguras, e una l’ant bogada ca no lu fiat prus pro s’impreu. Su sistema de verìfica pro sos fornidores de servìtzios l’ant megioradu annanghende duos controllos in su Validator SAML SP pro su Spid: 112. SAML Response Signature Verification Bypass e 113. SAML Response Signature Verification Bypass.
Ite lis est cussigiadu a fàghere, como, a sos gestores de sos servìtzios in lìnia? Pro prima cosa, est netzessàriu annoare in presse sas librerias .NET tratadas pro s’autenticatzione. A pustis, ma semper fundamentale, est pretzisu a iscumproare sa cunformidade a sos controllos noos introduidos in su Validator SAML SP.
Craru chi est de importu mannu a intraprèndere sena tardare atziones pro pòdere garantire sa seguresa de sas autenticatziones.
Gianfranca Orunesu
Leave a comment