Pac4j heeft een kwetsbaarheid verholpen in de pac4j-jwt bibliotheek (specifiek voor versies voor 4.5.9, 5.7.9 en 6.3.3). De kwetsbaarheid bevindt zich in de JwtAuthenticator module van de pac4j-jwt bibliotheek. Deze kwetsbaarheid stelt een aanvaller die toegang heeft tot de RSA publieke sleutel van de server in staat om JWT-authenticatietokens te vervalsen. De fout omzeilt het proces van handtekeningverificatie, dat bedoeld is om de authenticiteit van tokens te valideren. Hierdoor kan een aanvaller zich voordoen als elke gebruiker, inclusief gebruikers met administratieve privileges. Alle applicaties die afhankelijk zijn van de kwetsbare pac4j-jwt versies voor JWT-authenticatie zijn getroffen.
ncsc
12-03-2026 15:45