CVE-2026-53776
KrytyczneCVSS 9.1Streszczenie
Perry przed wersją 0.5.1166 zawiera podatność na walidację JWT, która pozwala zdalnym atakującym na obejście wygaśnięcia tokena. Wykorzystując nieodwołalne ustawienie validate_exp = false, atakujący mogą używać wygasłych tokenów, aby uzyskać nieograniczony dostęp.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp, ponieważ atakujący mogą wykorzystać wygasłe tokeny do utrzymania sesji użytkowników, co zagraża bezpieczeństwu danych.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Perry, aby usunąć tę podatność oraz wprowadzenie dodatkowych mechanizmów weryfikacji tokenów.
Oryginalny opis (angielski, źródło NVD)
Perry before 0.5.1166 contains a JWT validation vulnerability that allows remote attackers to bypass token expiration by exploiting the unconditional setting of validate_exp = false in the verify_decode helper within the stdlib JWT verification path. Attackers in possession of a previously issued bearer token can present expired tokens to any jwt.verify() call and retain authenticated access indefinitely, bypassing force-expired sessions such as user logout or administrative revocation.

