CVE-2026-31957
KrytyczneStreszczenie
Himmelblau to zestaw interoperacyjny dla Microsoft Azure Entra ID i Intune. W wersjach od 3.0.0 do przed 3.1.0, brak skonfigurowanej domeny najemcy w pliku himmelblau.conf powoduje, że uwierzytelnianie nie jest ograniczone do konkretnego najemcy, co umożliwia przyjmowanie prób uwierzytelnienia z dowolnych domen Entra ID.
Ocena ryzyka
Taka sytuacja stwarza ryzyko w zdalnych środowiskach uwierzytelniania, ponieważ może prowadzić do nieautoryzowanego dostępu do zasobów. W przypadku nieodpowiedniej konfiguracji, atakujący może wykorzystać tę lukę do przeprowadzenia ataków na inne domeny.
Rekomendacja
Zaleca się aktualizację Himmelblau do wersji 3.1.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy upewnić się, że domena najemcy jest poprawnie skonfigurowana w pliku himmelblau.conf.
Oryginalny opis (angielski, źródło NVD)
Himmelblau is an interoperability suite for Microsoft Azure Entra ID and Intune. From 3.0.0 to before 3.1.0, if Himmelblau is deployed without a configured tenant domain in himmelblau.conf, authentication is not tenant-scoped. In this mode, Himmelblau can accept authentication attempts for arbitrary Entra ID domains by dynamically registering providers at runtime. This behavior is intended for initial/local bootstrap scenarios, but it can create risk in remote authentication environments. This vulnerability is fixed in 3.1.0.

