CVE-2025-49012

Himmelblau is an interoperability suite for Microsoft Azure Entra ID and Intune. Himmelblau versions 0.9.0 through 0.9.14 and 1.00-alpha are vulnerable to a privilege escalation issue when Entra ID group-based access restrictions are configured using group display names instead of object IDs. Starting in version 0.9.0, Himmelblau introduced support for specifying group names in the `pam_allow_groups` configuration option. However, Microsoft Entra ID permits the creation of multiple groups with the same `displayName` via the Microsoft Graph API—even by non-admin users, depending on tenant settings. As a result, a user could create a personal group with the same name as a legitimate access group (e.g., `"Allow-Linux-Login"`), add themselves to it, and be granted authentication or `sudo` rights by Himmelblau. Because affected Himmelblau versions compare group names by either `displayName` or by the immutable `objectId`, this allows bypassing access control mechanisms intended to restrict login to members of official, centrally-managed groups. This issue is fixed in Himmelblau version **0.9.15** and later. In these versions, group name matching in `pam_allow_groups` has been deprecated and removed, and only group `objectId`s (GUIDs) may be specified for secure group-based filtering. To mitigate the issue without upgrading, replace all entries in `pam_allow_groups` with the objectId of the target Entra ID group(s) and/or audit your tenant for groups with duplicate display names using the Microsoft Graph API.
Configurations

No configuration.

History

06 Jun 2025, 14:07

Type Values Removed Values Added
Summary
  • (es) Himmelblau es una suite de interoperabilidad para Microsoft Azure Entra ID e Intune. Las versiones de Himmelblau de la 0.9.0 a la 0.9.14 y la 1.00-alfa son vulnerables a un problema de escalada de privilegios cuando las restricciones de acceso basadas en grupos de Entra ID se configuran con nombres para mostrar de grupo en lugar de identificadores de objeto. A partir de la versión 0.9.0, Himmelblau introdujo la posibilidad de especificar nombres de grupo en la opción de configuración `pam_allow_groups`. Sin embargo, Microsoft Entra ID permite la creación de varios grupos con el mismo `displayName` mediante la API de Microsoft Graph, incluso por parte de usuarios no administradores, según la configuración del inquilino. Como resultado, un usuario podría crear un grupo personal con el mismo nombre que un grupo de acceso legítimo (p. ej., `"Allow-Linux-Login"`), agregarse a él y obtener permisos de autenticación o `sudo` de Himmelblau. Dado que las versiones afectadas de Himmelblau comparan los nombres de grupo mediante `displayName` o el inmutable `objectId`, esto permite eludir los mecanismos de control de acceso diseñados para restringir el inicio de sesión a los miembros de grupos oficiales administrados centralmente. Este problema se solucionó en la versión **0.9.15** de Himmelblau y posteriores. En estas versiones, la coincidencia de nombres de grupo en `pam_allow_groups` se ha descontinuado y eliminado, y solo se pueden especificar `objectId` (GUID) de grupo para el filtrado seguro basado en grupos. Para mitigar el problema sin actualizar, reemplace todas las entradas en `pam_allow_groups` con el objectId del grupo o grupos de Entra ID de destino o audite su inquilino para detectar grupos con nombres para mostrar duplicados mediante la API de Microsoft Graph.

05 Jun 2025, 23:15

Type Values Removed Values Added
New CVE

Information

Published : 2025-06-05 23:15

Updated : 2025-06-06 14:07


NVD link : CVE-2025-49012

Mitre link : CVE-2025-49012

CVE.ORG link : CVE-2025-49012


JSON object : View

Products Affected

No product.

CWE
CWE-287

Improper Authentication