A critical JWT signature bypass vulnerability (CVE not provided) exists in the pac4j-jwt library's JwtAuthenticator module, allowing an attacker with access to the server's RSA public key to forge authentication tokens and impersonate any user, including administrators. The affected versions are pac4j-jwt before 4.5.9, before 5.7.9, and before 6.3.3. The flaw is fixed in versions 4.5.9, 5.7.9, and 6.3.3, to which all dependent applications must upgrade.
Pac4j heeft een kwetsbaarheid verholpen in de pac4j-jwt bibliotheek (specifiek voor versies voor 4.5.9, 5.7.9 en 6.3.3). De kwetsbaarheid bevindt zich in de JwtAuthenticator module van de pac4j-jwt bibliotheek. Deze kwetsbaarheid stelt een aanvaller die toegang heeft tot de RSA publieke sleutel van de server in staat om JWT-authenticatietokens te vervalsen. De fout omzeilt het proces van handtekeningverificatie, dat bedoeld is om de authenticiteit van tokens te valideren. Hierdoor kan een aanvaller zich voordoen als elke gebruiker, inclusief gebruikers met administratieve privileges. Alle applicaties die afhankelijk zijn van de kwetsbare pac4j-jwt versies voor JWT-authenticatie zijn getroffen.