PT-2026-54774 · Unknown · Centrifugo
Publicado
2026-07-01
·
Atualizado
2026-07-07
·
CVE-2026-49998
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Centrifugo (versões afetadas não especificadas)
Description
O Centrifugo contém um bypass de autenticação JWT entre inquilinos (cross-tenant) ao utilizar endpoints JWKS (JSON Web Key Set) dinâmicos. O problema ocorre porque o cache do JWKS e a busca
singleflight são indexados apenas pelo kid (Key ID) do cabeçalho do JWT, ignorando o endpoint JWKS resolvido, o emissor ou a audiência. Em configurações multi-tenant onde as URLs do JWKS são parametrizadas com base nas reivindicações iss ou aud, um invasor com um token válido para um inquilino pode se autenticar como um usuário de outro inquilino se ambos utilizarem o mesmo valor de kid e a chave do invasor for armazenada no cache primeiro.Isso afeta as seguintes opções de configuração:
client.token.jwks public endpointclient.subscription token.jwks public endpoint
A vulnerabilidade é acionada durante a execução das funções
VerifyConnectToken() e VerifySubscribeToken(), onde o sistema falha ao restringir as chaves em cache ao domínio de confiança específico do emissor.Recommendations
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Como medida de mitigação temporária, evite usar as opções de configuração
client.token.jwks public endpoint e client.subscription token.jwks public endpoint com URLs parametrizadas derivadas de reivindicações de JWT caso múltiplos emissores sejam suportados.Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Centrifugo