Falha de Segurança no OneLogin Permitia Roubo de Segredos OIDC

Uma vulnerabilidade de alta severidade foi descoberta na solução One Identity OneLogin de Gerenciamento de Identidade e Acesso (IAM). A falha, identificada como CVE-2025-59363 com pontuação CVSS 7.7/10, permitia que atacantes com credenciais de API válidas recuperassem segredos de clientes para todas as aplicações OpenID Connect (OIDC) configuradas em um tenant do OneLogin.

Como Funcionava o Ataque

• Atacante usava credenciais de API válidas do OneLogin para autenticação
• Solicitava token de acesso
• Chamava o endpoint /api/2/apps para listar todas as aplicações
• Analisava a resposta para extrair segredos de clientes OIDC
• Usava os segredos expostos para impersonar aplicações e acessar serviços integrados

Impacto e Consequências

A exploração bem-sucedida permitiria que um atacante:

• Acessasse segredos de clientes de todas as aplicações OIDC
• Impersonasse usuários e ganhasse acesso a outras aplicações
• Realizasse movimento lateral na infraestrutura
• Acessasse endpoints sensíveis em toda a plataforma

Resolução

A vulnerabilidade foi corrigida na versão OneLogin 2025.3.0, lançada em setembro de 2025, removendo a visibilidade dos valores client_secret OIDC nas respostas da API. Não há evidências de que a falha tenha sido explorada na natureza.

A One Identity destacou que a proteção dos clientes é sua prioridade máxima e agradeceu a divulgação responsável da Clutch Security, que descobriu a vulnerabilidade.