Katalog CVE

CVE-2026-31946

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

OpenOlat to otwartoźródłowa platforma e-learningowa, która w wersjach od 10.5.4 do przed 20.2.5 nie weryfikowała podpisów JWT w implementacji przepływu OpenID Connect. Metoda JSONWebToken.parse() ignoruje segment podpisu JWT, co prowadzi do braku weryfikacji podpisu kryptograficznego.

Ocena ryzyka

Brak weryfikacji podpisów JWT może umożliwić atakującym przejęcie sesji użytkowników lub fałszowanie tożsamości, co stanowi poważne zagrożenie dla bezpieczeństwa danych w organizacji.

Rekomendacja

Zaleca się aktualizację OpenOlat do wersji 20.2.5 lub nowszej, aby zapewnić poprawną weryfikację podpisów JWT i zwiększyć bezpieczeństwo platformy.

Oryginalny opis (angielski, źródło NVD)

OpenOlat is an open source web-based e-learning platform for teaching, learning, assessment and communication. From version 10.5.4 to before version 20.2.5, OpenOLAT's OpenID Connect implicit flow implementation does not verify JWT signatures. The JSONWebToken.parse() method silently discards the signature segment of the compact JWT (header.payload.signature), and the getAccessToken() methods in both OpenIdConnectApi and OpenIdConnectFullConfigurableApi only validate claim-level fields (issuer, audience, state, nonce) without any cryptographic signature verification against the Identity Provider's JWKS endpoint. This issue has been patched in version 20.2.5.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS