Amartya Jha

**Nome do Software Vulnerável e Versões Afetadas** pac4j-jwt versões anteriores a 4.5.9 pac4j-jwt versões anteriores a 5.7.9 pac4j-jwt versões anteriores a 6.3.3 **Description** Existe uma falha de bypass de autenticação no componente `JwtAuthenticator` ao processar JSON Web Tokens (JWTs) criptografados. Atacantes remotos que possuam a chave pública RSA do servidor podem forjar tokens de autenticação criando um PlainJWT encapsulado em JWE (um JWT não assinado) com reivindicações de assunto e função arbitrárias. Como a biblioteca processa incorretamente esses tokens, ela ignora o processo de verificação de assinatura, permitindo que o atacante se passe por qualquer usuário, incluindo administradores. **Recommendations** Atualize o pac4j-jwt para a versão 4.5.9 ou posterior. Atualize o pac4j-jwt para a versão 5.7.9 ou posterior. Atualize o pac4j-jwt para a versão 6.3.3 ou posterior.