esaml（およびそのフォーク）におけるXML外部実体参照（XXE）脆弱性により、攻撃者はシステムにローカルファイルを読み込ませ、その内容を処理されたSAMLドキュメントに組み込み、さらに細工されたSAMLメッセージを介してSSRFを実行する可能性があります。esamlは署名検証前にxmerl_scan:string/2を使用して攻撃者が制御するSAMLメッセージを解析しますが、XMLエンティティ展開を無効にしていません。Erlang/OTP 27未満のバージョンでは、Xmerlがデフォルトでエンティティを許可しているため、署名前にXXE攻撃が可能です。攻撃者はホストにローカルファイル（例：Kubernetesでマウントされたシークレット）をSAMLドキュメントに読み込ませることができます。攻撃者が信頼されたSAML SPでない場合、署名検証は失敗してドキュメントは破棄されますが、ログやエラーメッセージを通じてファイル内容が露出する可能性があります。この問題はarekianth、handnot2、dropboxによるフォークを含むすべてのesamlバージョンに影響します。Erlang/OTP 27以降で実行しているユーザーは、Xmerlがエンティティを無効化するデフォルト設定となっているため影響を受けません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。