PT-2026-54958 · Liboauth2 · Liboauth2
Marcin Wyczechowski
+1
·
Publicado
2026-07-02
·
Atualizado
2026-07-02
·
CVE-2026-54431
CVSS v4.0
5.1
Média
| Vetor | AV:L/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
liboauth2 versões anteriores a 2.3.0
Description
O verificador Demonstrating Proof-of-Possession (DPoP) falha ao validar adequadamente o cabeçalho JSON Web Key (jwk). Especificamente, a função
oauth2 token verify() retorna sucesso mesmo quando uma prova DPoP malformada incorpora material de chave privada Elliptic Curve (EC) no cabeçalho, violando os requisitos da RFC 9449, que determinam que tais provas sejam rejeitadas.Recommendations
Atualizar para a versão 2.3.0.
Correção
Improperly Implemented Security Check for Standard
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liboauth2