| CVE ID | CVE-2026-54430 |
| Data publikacji | 02 lipca 2026 |
| Producent podatnego oprogramowania | OpenIDC |
| Nazwa podatnego oprogramowania | liboauth2 |
| Podatne wersje | Wszystkie poniżej 2.3.0 |
| Typ podatności (CWE) | Server-Side Request Forgery (SSRF) (CWE-918) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-54431 |
| Data publikacji | 02 lipca 2026 |
| Producent podatnego oprogramowania | OpenIDC |
| Nazwa podatnego oprogramowania | liboauth2 |
| Podatne wersje | Wszystkie poniżej 2.3.0 |
| Typ podatności (CWE) | Improperly Implemented Security Check for Standard (CWE-358) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu OpenIDC liboauth2 i koordynował proces ujawniania informacji.
Podatność CVE-2026-54430: liboauth2 jest podatny na atak typu Server-Side Request Forgery w funkcji oauth2_jose_jwks_aws_alb_resolve(). Weryfikator AWS ALB odczytuje zarówno signer, jak i kid z niezweryfikowanego nagłówka JWT. Jeśli signer pasuje do skonfigurowanego ARN, kid jest dołączany do alb_base_url bez kodowania URL lub sanityzacji ścieżki, a żądanie HTTP GET jest wysyłane przed weryfikacją podpisu. Umożliwia to atakującemu zmuszenie serwera do wysłania żądania GET do wybranej wewnętrznej ścieżki.
Podatność CVE-2026-54431: W liboauth2 weryfikator Demonstrating Proof-of-Possession (DPoP) akceptuje dowód, którego nagłówek JSON Web Key (jwk) zawiera materiał klucza prywatnego. Standard RFC 9449 w sekcji 4.3, punkcie 7 wymaga, aby weryfikator odrzucił taki dowód, jednak funkcja oauth2_token_verify() poprawnie się wykonuje dla wadliwego dowodu DPoP, który osadza prywatny klucz Elliptic Curve (EC) w nagłówku.
Te problemy zostały naprawione w wersji 2.3.0.
Podziękowania
Za zgłoszenie podatności dziękujemy Michałowi Majchrowiczowi i Marcinowi Wyczechowskiemu z zespołu AFINE.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.