CVE-2025-59420

Nome do Software Vulnerável e Versões Afetadas Versões do Authlib anteriores à 1.6.4

Descrição A verificação JWS do Authlib lida inadequadamente com tokens que declaram parâmetros de cabeçalho críticos desconhecidos (crit), violando as especificações da RFC 7515. Um atacante pode criar um token assinado com um cabeçalho crítico (por exemplo, bork ou cnf) que verificadores rigorosos rejeitariam, mas que o Authlib aceita. Isso pode levar à verificação split-brain, bypass de políticas, ataques de replay ou escalonamento de privilégios em ambientes com frotas de linguagens mistas. O problema ocorre porque o Authlib não aplica a semântica "must-understand" definida para o parâmetro crit na RFC 7515. O endpoint da API deserialize compact() é afetado. O parâmetro crit é uma lista de parâmetros de cabeçalho críticos que um destinatário deve compreender e aplicar. Quando um token inclui um parâmetro crit com um nome desconhecido, verificadores rigorosos rejeitam o token, enquanto o Authlib o aceita. Essa discrepância pode ser explorada em ambientes heterogêneos onde alguns componentes são rigorosos e outros são lenientes.

Recomendações Atualize o Authlib para a versão 1.6.4 ou posterior.