该漏洞的CVSS评分为8.7,和因加密签名验证不当在库中引发验证绕过的问题有关。该漏洞是由弗吉尼亚大学博士在读四年级学生 Tamjid AI Rahat 发现并报告的,他为此获得5000美元的漏洞奖励。
安全公告指出,“造成该漏洞的原因是 IDToken 验证符并未验证令牌是否被正确签名。签名验证确保令牌的payload 源自合法提供商。攻击者可提供带有自定义payload 的受陷令牌。该令牌将通过对客户端的验证。”
该Java开源库构建于 Google HTTP Client Library for Java 基础之上,很可能获得支持 OAuth 授权标准的 web 上任意服务的访问令牌。谷歌在GitHub 上的项目 README 文件中提到,该库以维修模式支持,仅修复必要bug。
建议Google-oauth-jave-client 库用户更新至4月13日发布的1.33.3版本,以免遭受任何潜在风险影响。
https://thehackernews.com/2022/05/high-severity-bug-reported-in-googles.html
题图:Pixabay License
“转自奇安信代码卫士 https://codesafe.qianxin.com”。
长按添加关注,为您保驾护航!
原文始发于微信公众号(网安百色):谷歌 OAuth客户端库(Java版)中存在高危漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论