PT-2026-54774 · Unknown · Centrifugo

Publicado

2026-07-01

·

Atualizado

2026-07-07

·

CVE-2026-49998

CVSS v3.1

8.2

Alta

VetorAV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas Centrifugo (versões afetadas não especificadas)
Description O Centrifugo contém um bypass de autenticação JWT entre inquilinos (cross-tenant) ao utilizar endpoints JWKS (JSON Web Key Set) dinâmicos. O problema ocorre porque o cache do JWKS e a busca singleflight são indexados apenas pelo kid (Key ID) do cabeçalho do JWT, ignorando o endpoint JWKS resolvido, o emissor ou a audiência. Em configurações multi-tenant onde as URLs do JWKS são parametrizadas com base nas reivindicações iss ou aud, um invasor com um token válido para um inquilino pode se autenticar como um usuário de outro inquilino se ambos utilizarem o mesmo valor de kid e a chave do invasor for armazenada no cache primeiro.
Isso afeta as seguintes opções de configuração:
  • client.token.jwks public endpoint
  • client.subscription token.jwks public endpoint
A vulnerabilidade é acionada durante a execução das funções VerifyConnectToken() e VerifySubscribeToken(), onde o sistema falha ao restringir as chaves em cache ao domínio de confiança específico do emissor.
Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Como medida de mitigação temporária, evite usar as opções de configuração client.token.jwks public endpoint e client.subscription token.jwks public endpoint com URLs parametrizadas derivadas de reivindicações de JWT caso múltiplos emissores sejam suportados.

Improper Verification of Cryptographic Signature

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-49998
GHSA-G6VG-WJ8F-48CJ
GO-2026-5872

Produtos afetados

Centrifugo