CVE-2023-41900
Jetty's OpenId Revoked authentication allows one request
Em resumo
O Jetty tem um problema na autenticação OpenID onde um usuário cujo acesso foi revogado consegue fazer ainda uma requisição como se estivesse autenticado antes de ser desconectado. Isso importa porque um atacante com sessão revogada poderia realizar uma ação não autorizada.
Detalhe técnico
O OpenIdAuthenticator do Jetty (versões 9.4.21–9.4.51, 10.0.15, 11.0.15) não aplica imediatamente as decisões de revogação do LoginService aninhado. Quando um LoginService rejeita um usuário previamente autenticado, a requisição atual é processada como autenticada antes de limpar o estado da sessão, permitindo uma requisição contornar a verificação de revogação. Requisições subsequentes são corretamente negadas.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Jetty is a Java based web server and servlet engine. Versions 9.4.21 through 9.4.51, 10.0.15, and 11.0.15 are vulnerable to weak authentication. If a Jetty `OpenIdAuthenticator` uses the optional nested `LoginService`, and that `LoginService` decides to revoke an already authenticated user, then the current request will still treat the user as authenticated. The authentication is then cleared from the session and subsequent requests will not be treated as authenticated. So a request on a previously authenticated session could be allowed to bypass authentication after it had been rejected by the `LoginService`. This impacts usages of the jetty-openid which have configured a nested `LoginService` and where that `LoginService` will is capable of rejecting previously authenticated users. Versions 9.4.52, 10.0.16, and 11.0.16 have a patch for this issue.
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:L/I:N/A:N
Produtos afetados
eclipse · jetty.projectQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →