CVE-2026-54431
ŚrednieCVSS 5.1Streszczenie
W bibliotece liboauth2 weryfikator DPoP akceptuje dowód, którego nagłówek jwk zawiera klucz prywatny. Funkcja oauth2_token_verify() zwraca sukces dla nieprawidłowego dowodu DPoP z osadzonym kluczem prywatnym EC, co narusza wymagania RFC 9449.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do podszycia się pod autoryzowanego użytkownika lub urządzenie, co prowadzi do nieautoryzowanego dostępu do chronionych zasobów i potencjalnej kradzieży danych.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę liboauth2 do wersji 2.3.0 lub nowszej, która zawiera poprawkę usuwającą tę lukę.
Oryginalny opis (angielski, źródło NVD)
In liboauth2 the Demonstrating Proof-of-Possession (DPoP) verifier accepts a proof whose JSON Web Key (jwk) header contains private key material. RFC 9449 section 4.3 step 7 requires the verifier to reject such a proof but oauth2_token_verify() function returns success for a malformed DPoP proof that embeds the private Elliptic Curve (EC) key in the header. This issue was fixed in version 2.3.0

