Pac4j heeft een kwetsbaarheid opgelost in de pac4j-jwt-bibliotheek. Het lek trof alle versies vóór 4.5.9, 5.7.9 en 6.3.3 en zat in de module JwtAuthenticator.

Door deze fout kon een aanvaller met toegang tot de RSA-publieke sleutel van de server JWT‑authenticatietokens vervalsen. De handtekeningcontrole — bedoeld om de echtheid van tokens te garanderen — viel te omzeilen. Zo kon een aanvaller zich voordoen als elke willekeurige gebruiker, zelfs als beheerder.

Alle applicaties die voor JWT-authenticatie op kwetsbare pac4j-jwt-versies steunen, zijn getroffen. Het probleem is verholpen in versies 4.5.9, 5.7.9 en 6.3.3.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.