关于Google-OAuth-Java-Client身份验证绕过漏洞(CVE-2021-22573)的预警提示

时间:2022-05-23 点击数:

一、漏洞详情

Google OAuth Client Library for JavaGoogle开发的一个强大且易于使用的开源Java库,用于OAuth1.0aOAuth2.0授权标准。该Java库旨在与网络上的任何OAuth服务一起使用,它是建立在Google OAuth Client Library for Java之上的。

Google修复了Google-OAuth-Java-Client中的一个身份验证绕过漏洞(CVE-2021-22573),由于IDToken验证程序无法验证令牌是否正确签名,Google-OAuth-Java-Client中存在身份验证绕过漏洞,可以通过提供具有自定义Payload的受损令牌通过客户端的验证。此外,该Java库基于Google OAuth Client Library for Java构建,可以获取对Web上支持OAuth授权标准的任何服务的访问令牌。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Google-OAuth-Java-Client版本 < v1.33.3

三、修复建议

受影响的用户可以升级更新到Google-OAuth-Java-Client版本v1.33.3

下载链接:https://github.com/googleapis/google-oauth-java-client/releases

Copyright © 2020-2025 center , All Rights Reserved 版权所有:信息网络中心 苏ICP备1234123号-000 技术支持:信息网络中心