CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-31946

Critical
Published: Translated: NVD NIST

Summary

OpenOlat to otwartoźródłowa platforma e-learningowa, która w wersjach od 10.5.4 do przed 20.2.5 nie weryfikowała podpisów JWT w implementacji przepływu OpenID Connect. Metoda JSONWebToken.parse() ignoruje segment podpisu JWT, co prowadzi do braku weryfikacji podpisu kryptograficznego.

Risk Assessment

Brak weryfikacji podpisów JWT może umożliwić atakującym przejęcie sesji użytkowników lub fałszowanie tożsamości, co stanowi poważne zagrożenie dla bezpieczeństwa danych w organizacji.

Recommendation

Zaleca się aktualizację OpenOlat do wersji 20.2.5 lub nowszej, aby zapewnić poprawną weryfikację podpisów JWT i zwiększyć bezpieczeństwo platformy.

Original NVD description (English source)

OpenOlat is an open source web-based e-learning platform for teaching, learning, assessment and communication. From version 10.5.4 to before version 20.2.5, OpenOLAT's OpenID Connect implicit flow implementation does not verify JWT signatures. The JSONWebToken.parse() method silently discards the signature segment of the compact JWT (header.payload.signature), and the getAccessToken() methods in both OpenIdConnectApi and OpenIdConnectFullConfigurableApi only validate claim-level fields (issuer, audience, state, nonce) without any cryptographic signature verification against the Identity Provider's JWKS endpoint. This issue has been patched in version 20.2.5.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS