CERT Polska skoordynował ujawnienie dwóch podatności w bibliotece OpenIDC liboauth2, powszechnie stosowanej w systemach autoryzacji i uwierzytelniania.
Pierwsza podatność (CVE-2026-54430) dotyczy ataku Server-Side Request Forgery. Funkcja oauth2_jose_jwks_aws_alb_resolve() odczytuje nagłówek JWT bez weryfikacji, a następnie wysyła żądanie HTTP do wewnętrznej ścieżki bez sanityzacji danych. Umożliwia to atakującemu zmuszenie serwera do komunikacji z zasobami, które powinny pozostać niedostępne z zewnątrz.
Druga podatność (CVE-2026-54431) dotyczy weryfikacji certyfikatów DPoP (Demonstrating Proof-of-Possession). Biblioteka akceptuje dowody zawierające materiał klucza prywatnego w nagłówku, co narusza standard RFC 9449 i może umożliwić złamanie mechanizmu bezpieczeństwa.
Oba problemy zostały naprawione w wersji 2.3.0. CERT Polska rekomenduje natychmiastową aktualizację dla administratorów systemów korzystających z tej biblioteki.
Co to oznacza dla Ciebie
Jeśli zarządzasz systemem uwierzytelniania opartym na OpenIDC liboauth2 — zaktualizuj do wersji 2.3.0 lub nowszej
Podatności mogą być wykorzystane do nieautoryzowanego dostępu do zasobów sieciowych lub obejścia walidacji logowania
Polecamy przegląd dzienników dostępu w poszukiwaniu podejrzanej aktywności od momentu, gdy system był podatny
Źródło: CERT Polska
Komentarze (0)
Brak komentarzy. Dodaj pierwszy komentarz.