PT-2026-34190 · Oxia · Oxia
Publicado
2026-04-14
·
Atualizado
2026-04-26
·
CVE-2026-40946
CVSS v4.0
9.3
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Name of the Vulnerable Software and Affected Versions
Oxia versões anteriores a 0.16.2
Description
O provedor de autenticação OIDC define incondicionalmente
SkipClientIDCheck: true na configuração do verificador go-oidc. Isso desativa a validação padrão da reivindicação de audiência (aud) no nível da biblioteca, permitindo que tokens emitidos para serviços não relacionados pelo mesmo emissor OIDC sejam aceitos. Consequentemente, qualquer JWT do mesmo emissor pode conceder acesso total, independentemente da audiência pretendida.Recommendations
Atualizar para a versão 0.16.2.
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oxia