PT-2026-54958 · Liboauth2 · Liboauth2

Marcin Wyczechowski

+1

·

Publicado

2026-07-02

·

Atualizado

2026-07-02

·

CVE-2026-54431

CVSS v4.0

5.1

Média

VetorAV:L/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas liboauth2 versões anteriores a 2.3.0
Description O verificador Demonstrating Proof-of-Possession (DPoP) falha ao validar adequadamente o cabeçalho JSON Web Key (jwk). Especificamente, a função oauth2 token verify() retorna sucesso mesmo quando uma prova DPoP malformada incorpora material de chave privada Elliptic Curve (EC) no cabeçalho, violando os requisitos da RFC 9449, que determinam que tais provas sejam rejeitadas.
Recommendations Atualizar para a versão 2.3.0.

Correção

Improperly Implemented Security Check for Standard

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-54431

Produtos afetados

Liboauth2