CVE-2026-41164

Nome do Software Vulnerável e Versões Afetadas nuts-node versões anteriores a 5.4.31 nuts-node versões anteriores a 6.2.3

Description O endpoint de introspecção de token de acesso v1 '/auth/v1/introspect access token' aceita qualquer JSON Web Token (JWT) assinado por uma chave presente no nó sem validar o tipo de JWT, a vinculação do emissor à chave ou as reivindicações obrigatórias. Isso permite que um JWT de Verifiable Presentation (VP)—um formato usado para apresentar credenciais—seja replicado como um token de acesso, resultando em uma resposta de introspecção 'active: true'. O problema ocorre porque o endpoint realiza apenas verificações padrão de JWT e não verifica se a reivindicação iss (emissor) corresponde ao Identificador Descentralizado (DID) extraído do cabeçalho kid (ID da chave), ignora o cabeçalho typ (tipo) e permite que a reivindicação service esteja vazia.

Recommendations Atualizar para a versão 5.4.31 ou posterior. Atualizar para a versão 6.2.3 ou posterior. Como alternativa temporária, os servidores de recursos devem validar explicitamente as respostas de introspecção, rejeitando aquelas em que a reivindicação service esteja vazia, onde a reivindicação iss esteja vazia ou não corresponda ao DID do autorizador esperado, ou onde a reivindicação sub não corresponda ao DID do solicitante esperado.