CVSS – 10.0
Opis ranjivosti
Otkrivena je kritična ranjivost u Java pac4j-jwt sigurnosnom frameworku koja omogućuje potpuno zaobilaženje autentifikacije. Zbog pogreške u načinu na koji JwtAuthenticator obrađuje kriptirane JSON Web Tokene (JWT), udaljeni napadači mogu preuzeti identitet bilo kojeg korisnika, uključujući i administratore, bez poznavanja lozinke ili valjanog digitalnog potpisa.
Napadač koji posjeduje RSA javni ključ poslužitelja može izraditi lažni, posebno oblikovani token (JWE-wrapped PlainJWT) s proizvoljnim podacima o korisniku i administratorskim ovlastima, zaobići verifikaciju i prijaviti se kao bilo koji korisnik, uključujući i administratore, bez poznavanja lozinke ili posjedovanja valjanog privatnog ključa.
Pogođene verzije
Ranjive inačice:
- pac4j-jwt 4.0 < 4.5.9
- pac4j-jwt 5.0 < 5.7.9
- pac4j-jwt 6.0 < 6.3.3
Preporučene mjere zaštite
1. Hitno ažuriranje: Odmah nadogradite pac4j-jwt na jednu od sigurnih verzija
- Ako koristite verziju 4.x: nadogradnja na 4.5.9 (ili noviji)
- Ako koristite verziju 5.x: nadogradnja na 5.7.9 (ili noviji)
- Ako koristite verziju 6.x: nadogradnja na 6.3.3 (ili noviji)
2. Pregled logova: Savjetujemo pregled logova autentifikacije radi otkrivanja sumnjivih prijava ili neobičnih JWT tokena
Dodatne informacije
- https://www.codeant.ai/security-research/pac4j-jwt-authentication-bypass-public-key
- https://www.pac4j.org/blog/security-advisory-pac4j-jwt-jwtauthenticator.html
- https://www.vulncheck.com/advisories/pac4j-jwt-jwtauthenticator-authentication-bypass
