CVE-2020-15222
Replay of private_key_jwt possible in ORY Fosite
Em resumo
ORY Fosite não verifica se um ID de token JWT (jti) já foi usado durante autenticação com chave privada, permitindo que invasores reutilizem o mesmo token várias vezes em vez de apenas uma. Isso quebra um requisito crítico de segurança que impede reutilização de tokens de autenticação.
Detalhe técnico
A vulnerabilidade existe no fluxo de autenticação de cliente private_key_jwt, onde a exclusividade da claim jti (JWT ID) não é validada. Um invasor pode fazer replay de uma asserção JWT já usada múltiplas vezes, contornando o requisito obrigatório de uso único definido pela especificação OpenID Connect. Versões anteriores à 0.31.0 falham em manter um registro de jti ou verificá-lo durante validação.
Resumo gerado e traduzido por IA a partir da descrição oficial.
In ORY Fosite (the security first OAuth2 & OpenID Connect framework for Go) before version 0.31.0, when using "private_key_jwt" authentication the uniqueness of the `jti` value is not checked. When using client authentication method "private_key_jwt", OpenId specification says the following about assertion `jti`: "A unique identifier for the token, which can be used to prevent reuse of the token. These tokens MUST only be used once, unless conditions for reuse were negotiated between the parties". Hydra does not seem to check the uniqueness of this `jti` value. This problem is fixed in version 0.31.0.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
Produtos afetados
ory · fositeQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →