Jérôme Leleu

**Nome do software vulnerável e versões afetadas** Versões 5.3.0 e anteriores do pac4j Versões 5.1 e anteriores do pac4j **Descrição** O problema diz respeito ao suporte ao algoritmo “none” por um provedor OpenID Connect, o que permite tokens sem assinatura. Esse algoritmo não exige verificação de assinatura ao validar tokens de identificação, permitindo que um invasor contorne a validação do token injetando um token de identificação malformado usando “none” como valor da chave `alg` no cabeçalho com um valor de assinatura vazio. Esse comportamento viola a Especificação OpenID Core e não é seguro. **Recomendações** Para as versões 5.3.0 e anteriores do pac4j, certifique-se de configurar explicitamente para recusar o algoritmo “none”. Para as versões 5.1 e anteriores do pac4j, atualize a configuração para rejeitar tokens de identificação com o algoritmo “none” a fim de impedir a contornagem da validação de tokens. Como solução alternativa temporária, considere desativar o uso do algoritmo “none” para a validação de tokens de identificação até que uma correção adequada seja aplicada.