Kritische Sicherheitslücke in Node.js-Bibliothek samlify

Das IT-Sicherheitsunternehmen EndorLabs berichtete am 20. Mai 2025 über die kritische Sicherheitslücke CVE-2025-47949 in der Node.js-Bibliothek samlify, die in Single-Sign-On-Authentifizierungen eingesetzt wird. CVE-2025-47949 mit einem CVSS-B-Score von 9.9/10 ermöglicht Angreifenden, sich mittels eines signierten XML-Dokuments als beliebige User zu authentifizieren.

Laut EndorLabs sind alle Versionen von samlify vor der Version 2.10.0 von der Schwachstelle betroffen. Da die Bibliothek ca. 210.000 Mal pro Woche heruntergeladen wird, sei von einer sehr hohen Verbreitung auszugehen. Dieser Umstand und die leichte Ausnutzbarkeit von CVE-2025-47949 sprechen für ein hohes Angriffsrisiko.

Mit der Version 2.10.0 stellt das Entwickler-Team eine abgesicherte Version bereit, die die Lücke schließt.

Installieren Sie umgehend die Version 2.10.0 der Node.js-Bibliothek samlify.