谷歌 OAuth客户端库(Java版)中存在高危漏洞

admin 2022年5月23日01:51:15安全漏洞评论8 views654字阅读2分10秒阅读模式
谷歌 OAuth客户端库(Java版)中存在高危漏洞



 上个月,谷歌解决了OAuth 客户端库(Java版)中的一个高危漏洞(CVE-2021-22573),本可导致恶意人员使用受陷令牌部署任意payload
谷歌 OAuth客户端库(Java版)中存在高危漏洞

该漏洞的CVSS评分为8.7,和因加密签名验证不当在库中引发验证绕过的问题有关。该漏洞是由弗吉尼亚大学博士在读四年级学生 Tamjid AI Rahat 发现并报告的,他为此获得5000美元的漏洞奖励。

安全公告指出,“造成该漏洞的原因是 IDToken 验证符并未验证令牌是否被正确签名。签名验证确保令牌的payload 源自合法提供商。攻击者可提供带有自定义payload 的受陷令牌。该令牌将通过对客户端的验证。”

该Java开源库构建于 Google HTTP Client Library for Java 基础之上,很可能获得支持 OAuth 授权标准的 web 上任意服务的访问令牌。谷歌在GitHub 上的项目 README 文件中提到,该库以维修模式支持,仅修复必要bug。

建议Google-oauth-jave-client 库用户更新至4月13日发布的1.33.3版本,以免遭受任何潜在风险影响。


原文链接

https://thehackernews.com/2022/05/high-severity-bug-reported-in-googles.html

题图:Pixabay License



“转自奇安信代码卫士 https://codesafe.qianxin.com”。


谷歌 OAuth客户端库(Java版)中存在高危漏洞
谷歌 OAuth客户端库(Java版)中存在高危漏洞

长按添加关注,为您保驾护航!



原文始发于微信公众号(网安百色):谷歌 OAuth客户端库(Java版)中存在高危漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月23日01:51:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  谷歌 OAuth客户端库(Java版)中存在高危漏洞 http://cn-sec.com/archives/1036991.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: