谷歌Java OAuth客户端库存在高危漏洞

admin 2022年5月23日03:36:47安全漏洞评论13 views729字阅读2分25秒阅读模式
谷歌Java OAuth客户端库存在高危漏洞

关键词

歌Java OAuth、高危漏洞


谷歌Java OAuth客户端库存在高危漏洞

谷歌Java OAuth客户端库存在高危漏洞,攻击者可使用被黑的token部署恶意payload。
漏洞概述
谷歌OAuth Client Library for Java(Java OAuth客户端库)的设计目的是用来与web上的任意OAuth协作,而不仅仅是谷歌API。该库基于谷歌Java HTTP客户端库构建,支持Java 7标准版和企业版、安卓4.0、谷歌APP引擎。
研究人员在Java OAuth客户端库中发现一个高位的认证绕过漏洞,CVE编号为CVE-2021-22573,CVSSv3评分8.7分,攻击者可以利用该被黑的token来部署恶意payload。
漏洞产生的根源是IDToken验证器没有验证token是否正确签名。签名验证可以确保token的payload来源于有效的可信的提供者。因此,攻击者可绕过客户端的验证,利用该漏洞可以构造来自不可信的提供者的任意恶意payload。
漏洞时间轴
该漏洞是由弗吉尼亚大学计算机科学专业4年级博士生Tamjid Al Rahat于3月12日发现的,微软已于4月发布了v 1.33.3版本来修复该漏洞。Tamjid Al Rahat因此获得了5000美元的漏洞奖励。

   END  

阅读推荐


谷歌Java OAuth客户端库存在高危漏洞【安全圈】日经新闻亚洲子公司遭勒索软件攻击


谷歌Java OAuth客户端库存在高危漏洞【安全圈】“全球最大隐私泄露行为”曝光!谷歌、微软在列

谷歌Java OAuth客户端库存在高危漏洞

【安全圈】美国政府:赶紧给 VMware 设备打补丁,否则拔掉设备!

谷歌Java OAuth客户端库存在高危漏洞

【安全圈】制药巨头遭受数据泄露影响360万客户



谷歌Java OAuth客户端库存在高危漏洞
谷歌Java OAuth客户端库存在高危漏洞

安全圈

谷歌Java OAuth客户端库存在高危漏洞

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

谷歌Java OAuth客户端库存在高危漏洞

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!

谷歌Java OAuth客户端库存在高危漏洞


原文始发于微信公众号(安全圈):【安全圈】谷歌Java OAuth客户端库存在高危漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月23日03:36:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  谷歌Java OAuth客户端库存在高危漏洞 http://cn-sec.com/archives/1040395.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: