Recentemente sono state individuate vulnerabilità nelle librerie .NET utilizzate per l’autenticazione a SPID e CIE. Queste librerie, sviluppate da terze parti nell’ambito di una challenge promossa nel 2017 dal Dipartimento per la Trasformazione Digitale, sono state rese disponibili nel repository Developers Italia su Github.

La vulnerabilità, scoperta e segnalata tempestivamente al CERT-AGID dalla società Shielder, riguarda il meccanismo di verifica delle risposte SAML. Il problema interessa esclusivamente i Service Provider che hanno implementato l’autenticazione a SPID o CIE utilizzando le suddette librerie .NET.

Impatto della vulnerabilità

Un attaccante potrebbe generare una risposta SAML arbitraria che, a causa della falla, verrebbe accettata dai Service Provider vulnerabili. Ciò gli consentirebbe di impersonare qualsiasi utente SPID o CIE, con gravi rischi per la sicurezza.

Azioni intraprese e misure di mitigazione

Due librerie affette dalla vulnerabilità sono state deprecate e aggiornate dai maintainers con nuove versioni sicure, mentre una terza libreria è stata definitivamente dismessa.

AgID ha introdotto due nuovi controlli nel Validator SAML SP per SPID, lo strumento utilizzato dai Service Provider nella fase di collaudo, per individuare anomalie nelle risposte SAML:

• 112. SAML Response Signature Verification Bypass – Assertion non firmata
• 113. SAML Response Signature Verification Bypass – Assertion corrotta

Cosa devono fare i Service Provider

Si raccomanda ai Service Provider che utilizzano librerie .NET per l’autenticazione SPID o CIE di aggiornare immediatamente alle versioni più recenti delle librerie supportate e di verificare con attenzione i controlli 112 e 113 durante il collaudo SPID.

Riferimenti alle librerie interessate:

• CVE-2025-24894 – https://github.com/italia/spid-aspnetcore
• CVE-2025-24895 – https://github.com/italia/cie-aspnetcore