Katalog CVE

CVE-2026-54431

ŚrednieCVSS 5.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W bibliotece liboauth2 weryfikator DPoP akceptuje dowód, którego nagłówek jwk zawiera klucz prywatny. Funkcja oauth2_token_verify() zwraca sukces dla nieprawidłowego dowodu DPoP z osadzonym kluczem prywatnym EC, co narusza wymagania RFC 9449.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do podszycia się pod autoryzowanego użytkownika lub urządzenie, co prowadzi do nieautoryzowanego dostępu do chronionych zasobów i potencjalnej kradzieży danych.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę liboauth2 do wersji 2.3.0 lub nowszej, która zawiera poprawkę usuwającą tę lukę.

Oryginalny opis (angielski, źródło NVD)

In liboauth2 the Demonstrating Proof-of-Possession (DPoP) verifier accepts a proof whose JSON Web Key (jwk) header contains private key material. RFC 9449 section 4.3 step 7 requires the verifier to reject such a proof but oauth2_token_verify() function returns success for a malformed DPoP proof that embeds the private Elliptic Curve (EC) key in the header. This issue was fixed in version 2.3.0

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS