CVE-2026-31946
CriticalSummary
OpenOlat to otwartoźródłowa platforma e-learningowa, która w wersjach od 10.5.4 do przed 20.2.5 nie weryfikowała podpisów JWT w implementacji przepływu OpenID Connect. Metoda JSONWebToken.parse() ignoruje segment podpisu JWT, co prowadzi do braku weryfikacji podpisu kryptograficznego.
Risk Assessment
Brak weryfikacji podpisów JWT może umożliwić atakującym przejęcie sesji użytkowników lub fałszowanie tożsamości, co stanowi poważne zagrożenie dla bezpieczeństwa danych w organizacji.
Recommendation
Zaleca się aktualizację OpenOlat do wersji 20.2.5 lub nowszej, aby zapewnić poprawną weryfikację podpisów JWT i zwiększyć bezpieczeństwo platformy.
Original NVD description (English source)
OpenOlat is an open source web-based e-learning platform for teaching, learning, assessment and communication. From version 10.5.4 to before version 20.2.5, OpenOLAT's OpenID Connect implicit flow implementation does not verify JWT signatures. The JSONWebToken.parse() method silently discards the signature segment of the compact JWT (header.payload.signature), and the getAccessToken() methods in both OpenIdConnectApi and OpenIdConnectFullConfigurableApi only validate claim-level fields (issuer, audience, state, nonce) without any cryptographic signature verification against the Identity Provider's JWKS endpoint. This issue has been patched in version 20.2.5.

