PT-2022-12251 · Pac4J · Pac4J
Jérôme Leleu
·
Publicado
2022-01-06
·
Atualizado
2022-05-13
·
CVE-2021-44878
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões 5.3.0 e anteriores do pac4j
Versões 5.1 e anteriores do pac4j
Descrição
O problema diz respeito ao suporte ao algoritmo “none” por um provedor OpenID Connect, o que permite tokens sem assinatura. Esse algoritmo não exige verificação de assinatura ao validar tokens de identificação, permitindo que um invasor contorne a validação do token injetando um token de identificação malformado usando “none” como valor da chave
alg no cabeçalho com um valor de assinatura vazio. Esse comportamento viola a Especificação OpenID Core e não é seguro.Recomendações
Para as versões 5.3.0 e anteriores do pac4j, certifique-se de configurar explicitamente para recusar o algoritmo “none”.
Para as versões 5.1 e anteriores do pac4j, atualize a configuração para rejeitar tokens de identificação com o algoritmo “none” a fim de impedir a contornagem da validação de tokens.
Como solução alternativa temporária, considere desativar o uso do algoritmo “none” para a validação de tokens de identificação até que uma correção adequada seja aplicada.
Correção
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pac4J