CVE-2026-31957
CriticalSummary
Himmelblau to zestaw interoperacyjny dla Microsoft Azure Entra ID i Intune. W wersjach od 3.0.0 do przed 3.1.0, brak skonfigurowanej domeny najemcy w pliku himmelblau.conf powoduje, że uwierzytelnianie nie jest ograniczone do konkretnego najemcy, co umożliwia przyjmowanie prób uwierzytelnienia z dowolnych domen Entra ID.
Risk Assessment
Taka sytuacja stwarza ryzyko w zdalnych środowiskach uwierzytelniania, ponieważ może prowadzić do nieautoryzowanego dostępu do zasobów. W przypadku nieodpowiedniej konfiguracji, atakujący może wykorzystać tę lukę do przeprowadzenia ataków na inne domeny.
Recommendation
Zaleca się aktualizację Himmelblau do wersji 3.1.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy upewnić się, że domena najemcy jest poprawnie skonfigurowana w pliku himmelblau.conf.
Original NVD description (English source)
Himmelblau is an interoperability suite for Microsoft Azure Entra ID and Intune. From 3.0.0 to before 3.1.0, if Himmelblau is deployed without a configured tenant domain in himmelblau.conf, authentication is not tenant-scoped. In this mode, Himmelblau can accept authentication attempts for arbitrary Entra ID domains by dynamically registering providers at runtime. This behavior is intended for initial/local bootstrap scenarios, but it can create risk in remote authentication environments. This vulnerability is fixed in 3.1.0.

