PT-2026-41315 · Libjwt · Libjwt

Publicado

2026-05-15

·

Atualizado

2026-05-20

·

CVE-2026-44699

CVSS v4.0

9.1

Crítica

VetorAV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas LibJWT versões 3.0.0 a 3.3.2
Descrição O LibJWT aceita uma JSON Web Key (JWK) RSA que não contém um parâmetro alg como a chave de verificação para tokens HS256, HS384 ou HS512. No backend OpenSSL, isso faz com que a verificação HMAC seja executada com uma chave de comprimento zero, permitindo que um invasor forje JWTs válidos sem conhecer qualquer segredo ou chave privada RSA. Trata-se de um bypass de autenticação por confusão de algoritmo que afeta aplicações que carregam chaves RSA de JWKS onde o alg é omitido e a escolha do algoritmo de verificação é feita a partir do cabeçalho do JWT, como em um callback de busca de kid.
Recomendações Atualize o LibJWT para a versão 3.3.3.

Exploit

Correção

Improper Verification of Cryptographic Signature

Use of a Broken Cryptographic Algorithm

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-44699
GHSA-Q843-6Q5F-W55G

Produtos afetados

Libjwt