Uma falha de segurança crítica foi identificada no OneLogin Identity and Access Management (IAM) da One Identity, afetando clientes que utilizam o padrão OpenID Connect (OIDC). Catalogada como CVE-2025-59363, a vulnerabilidade recebeu uma pontuação de 7,7 (Alta) no CVSS e foi classificada como CWE-669 – Transferência incorreta de recursos entre esferas.
A falha permitia que invasores com credenciais de API válidas acessassem client_secrets de todos os aplicativos OIDC de um locatário, potencialmente permitindo personificação de aplicações, movimentação lateral e acesso a dados sensíveis.
Como a exploração ocorria
Segundo relatório da Clutch Security, a vulnerabilidade estava no endpoint /api/2/apps, que retornava mais dados do que o pretendido, incluindo as chaves secretas de autenticação dos aplicativos.
O vetor de ataque envolvia:
-
Obtenção de credenciais de API válidas (ID e client_secret).
-
Solicitação de token de acesso.
-
Chamada ao endpoint
/api/2/apps. -
Extração dos client_secrets para todos os aplicativos OIDC da organização.
A arquitetura do Controle de Acesso Baseado em Funções (RBAC) do OneLogin aumentava o risco, já que as chaves de API possuíam acesso amplo aos endpoints, enquanto a ausência de lista de permissões de IP permitia exploração global.
Correção e resposta da One Identity
Após divulgação responsável em 18 de julho de 2025, a One Identity corrigiu a vulnerabilidade na versão OneLogin 2025.3.0, removendo a exposição dos client_secrets no endpoint /api/2/apps.
Stuart Sharp, vice-presidente de produto, reforçou:
“A vulnerabilidade relatada foi resolvida dentro de um prazo razoável. Até onde sabemos, nenhum cliente foi afetado.”
Apesar de não haver evidências de exploração em campo, especialistas alertam sobre a gravidade da falha: sistemas de identidade corporativos são fundamentais para a segurança empresarial, e vulnerabilidades em APIs podem impactar pilhas de tecnologia inteiras.
