Дыра в pac4j-jwt. Теперь буквально каждый — «admin»
В библиотеке pac4j-jwt обнаружили критическую уязвимость CVE-2026-29000 (10,0). Злоумышленник может выдать себя за любого пользователя, включая администратора. Пароли и закрытые ключи не нужны.
Фокус в том, как библиотека обрабатывает JWT. Если сделать токен без подписи (PlainJWT) и зашифровать публичным RSA-ключом сервера, код «теряет» признак подписи и пропускает её проверку. Сервер читает роль из токена и верит ей.
История не только про один пакет. Шифрование часто добавляют как «усиление», но шифрование не доказывает источник. Если подпись проверяют не в самом начале, любая ошибка превращается во вход с любыми правами. Обновление зависимостей здесь реально закрывает входную дверь.
#jwt #java #auth #аутентификация
В библиотеке pac4j-jwt обнаружили критическую уязвимость CVE-2026-29000 (10,0). Злоумышленник может выдать себя за любого пользователя, включая администратора. Пароли и закрытые ключи не нужны.
Фокус в том, как библиотека обрабатывает JWT. Если сделать токен без подписи (PlainJWT) и зашифровать публичным RSA-ключом сервера, код «теряет» признак подписи и пропускает её проверку. Сервер читает роль из токена и верит ей.
История не только про один пакет. Шифрование часто добавляют как «усиление», но шифрование не доказывает источник. Если подпись проверяют не в самом начале, любая ошибка превращается во вход с любыми правами. Обновление зависимостей здесь реально закрывает входную дверь.
#jwt #java #auth #аутентификация
SecurityLab.ru
Любой пользователь — админ. Коротко о критической дыре в библиотеке pac4j-jwt
Уязвимость CVE-2026-29000 получила 10 баллов по шкале CVSS.
1❤19🤓4💔1👨💻1