El mes pasado, Google abordó una falla de alta gravedad en su biblioteca de cliente OAuth para Java que podría ser abusada por un actor malintencionado con un token comprometido para implementar cargas útiles arbitrarias.
rastreado como CVE-2021-22573la vulnerabilidad tiene una calificación de 8,7 sobre 10 en cuanto a gravedad y se relaciona con una omisión de autenticación en la biblioteca que se deriva de una verificación incorrecta de la firma criptográfica.
Acreditado con el descubrimiento e informe de la falla el 12 de marzo es Tamyid Al Rahat, un doctorado de cuarto año. estudiante de Ciencias de la Computación en la Universidad de Virginia, que recibió $ 5,000 como parte del programa de recompensas por errores de Google.
“La vulnerabilidad es que el verificador IDToken no verifica si el token está firmado correctamente”, un consultivo para el defecto lee.
“La verificación de la firma garantiza que la carga útil del token provenga de un proveedor válido, no de otra persona. Un atacante puede proporcionar un token comprometido con una carga útil personalizada. El token pasará la validación en el lado del cliente”.
el código abierto biblioteca Javaconstruida sobre la Biblioteca de cliente HTTP de Google para Javahace posible obtener tokens de acceso a cualquier servicio en la web que soporte el estándar de autorización OAuth.
Google, en su archivo léame para el proyecto en GitHub, señala que la biblioteca es compatible con el modo de mantenimiento y que solo corrige los errores necesarios, lo que indica la gravedad de la vulnerabilidad.
Se recomienda a los usuarios de la biblioteca google-oauth-java-client que actualicen a versión 1.33.3publicado el 13 de abril, para mitigar cualquier riesgo potencial.