CVE-2025-24976

Nome do Software Vulnerável e Versões Afetadas: Versões de distribuição 3.0.0-beta.1 até 3.0.0-rc.2

Descrição: O problema reside na maneira como a verificação da JSON Web Key (JWK) é realizada. Quando um JSON Web Token (JWT) contém um cabeçalho JWK sem uma cadeia de certificados, o código verifica apenas se o KeyID (kid) corresponde a uma das chaves confiáveis, mas não verifica se o material da chave efetivo corresponde. Isso permite que um atacante injete uma chave de assinatura não confiável em um JWT.

Recomendações: Para as versões 3.0.0-beta.1 até 3.0.0-rc.2, atualize para a versão 3.0.0-rc.3 ou posterior, que inclui a correção para o problema, disponível no commit 5ea9aa028db65ca5665f6af2c20ecf9dc34e5fcd. Como solução temporária, considere desativar a autenticação por token até que uma correção esteja disponível.