CERT Polska skoordynował ujawnienie dwóch podatności w bibliotece OpenIDC liboauth2, powszechnie stosowanej w systemach autoryzacji i uwierzytelniania.

Pierwsza podatność (CVE-2026-54430) dotyczy ataku Server-Side Request Forgery. Funkcja oauth2_jose_jwks_aws_alb_resolve() odczytuje nagłówek JWT bez weryfikacji, a następnie wysyła żądanie HTTP do wewnętrznej ścieżki bez sanityzacji danych. Umożliwia to atakującemu zmuszenie serwera do komunikacji z zasobami, które powinny pozostać niedostępne z zewnątrz.

Druga podatność (CVE-2026-54431) dotyczy weryfikacji certyfikatów DPoP (Demonstrating Proof-of-Possession). Biblioteka akceptuje dowody zawierające materiał klucza prywatnego w nagłówku, co narusza standard RFC 9449 i może umożliwić złamanie mechanizmu bezpieczeństwa.

Oba problemy zostały naprawione w wersji 2.3.0. CERT Polska rekomenduje natychmiastową aktualizację dla administratorów systemów korzystających z tej biblioteki.

Co to oznacza dla Ciebie

  • Jeśli zarządzasz systemem uwierzytelniania opartym na OpenIDC liboauth2 — zaktualizuj do wersji 2.3.0 lub nowszej

  • Podatności mogą być wykorzystane do nieautoryzowanego dostępu do zasobów sieciowych lub obejścia walidacji logowania

  • Polecamy przegląd dzienników dostępu w poszukiwaniu podejrzanej aktywności od momentu, gdy system był podatny


Źródło: CERT Polska