CVE-2026-30964

Nome do Software Vulnerável e Versões Afetadas versões anteriores à 5.2.4 do web-auth/webauthn-lib

Descrição O processo de validação de origem do software, ao utilizar a configuração allowed origins, reduz valores semelhantes a URL ao seu componente de host, aceitando correspondências com base apenas no host. Isso impede a implementação de políticas de origem exatas, já que diferenças de esquema e porta são ignoradas. Especificamente, o componente CheckAllowedOrigins utiliza parse url() para extrair o host tanto das origens permitidas configuradas quanto da clientDataJSON.origin recebida. Essa redução permite que solicitações com esquemas ou portas diferentes contornem a validação de origem pretendida. Esse problema afeta implantações que utilizam a configuração allowed origins e contorna a verificação de origem exata exigida pelos padrões WebAuthn. O componente vulnerável é o CheckAllowedOrigins.php. O parâmetro vulnerável é o clientDataJSON.origin.

Recomendações Atualize para a versão 5.2.4 ou posterior para resolver este problema.