CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-31957

Critical
Published: Translated: NVD NIST

Summary

Himmelblau to zestaw interoperacyjny dla Microsoft Azure Entra ID i Intune. W wersjach od 3.0.0 do przed 3.1.0, brak skonfigurowanej domeny najemcy w pliku himmelblau.conf powoduje, że uwierzytelnianie nie jest ograniczone do konkretnego najemcy, co umożliwia przyjmowanie prób uwierzytelnienia z dowolnych domen Entra ID.

Risk Assessment

Taka sytuacja stwarza ryzyko w zdalnych środowiskach uwierzytelniania, ponieważ może prowadzić do nieautoryzowanego dostępu do zasobów. W przypadku nieodpowiedniej konfiguracji, atakujący może wykorzystać tę lukę do przeprowadzenia ataków na inne domeny.

Recommendation

Zaleca się aktualizację Himmelblau do wersji 3.1.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy upewnić się, że domena najemcy jest poprawnie skonfigurowana w pliku himmelblau.conf.

Original NVD description (English source)

Himmelblau is an interoperability suite for Microsoft Azure Entra ID and Intune. From 3.0.0 to before 3.1.0, if Himmelblau is deployed without a configured tenant domain in himmelblau.conf, authentication is not tenant-scoped. In this mode, Himmelblau can accept authentication attempts for arbitrary Entra ID domains by dynamically registering providers at runtime. This behavior is intended for initial/local bootstrap scenarios, but it can create risk in remote authentication environments. This vulnerability is fixed in 3.1.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS