Katalog CVE

CVE-2026-31957

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Himmelblau to zestaw interoperacyjny dla Microsoft Azure Entra ID i Intune. W wersjach od 3.0.0 do przed 3.1.0, brak skonfigurowanej domeny najemcy w pliku himmelblau.conf powoduje, że uwierzytelnianie nie jest ograniczone do konkretnego najemcy, co umożliwia przyjmowanie prób uwierzytelnienia z dowolnych domen Entra ID.

Ocena ryzyka

Taka sytuacja stwarza ryzyko w zdalnych środowiskach uwierzytelniania, ponieważ może prowadzić do nieautoryzowanego dostępu do zasobów. W przypadku nieodpowiedniej konfiguracji, atakujący może wykorzystać tę lukę do przeprowadzenia ataków na inne domeny.

Rekomendacja

Zaleca się aktualizację Himmelblau do wersji 3.1.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy upewnić się, że domena najemcy jest poprawnie skonfigurowana w pliku himmelblau.conf.

Oryginalny opis (angielski, źródło NVD)

Himmelblau is an interoperability suite for Microsoft Azure Entra ID and Intune. From 3.0.0 to before 3.1.0, if Himmelblau is deployed without a configured tenant domain in himmelblau.conf, authentication is not tenant-scoped. In this mode, Himmelblau can accept authentication attempts for arbitrary Entra ID domains by dynamically registering providers at runtime. This behavior is intended for initial/local bootstrap scenarios, but it can create risk in remote authentication environments. This vulnerability is fixed in 3.1.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS