anonhaven

CVE-2026-28498

HIGH CVSS 4.0: 8,2 EPSS 0.02%
Обновлено 17 марта 2026
Python
Параметр Значение
CVSS 8,2 (HIGH)
Уязвимые версии до 1.6.9
Устранено в версии 1.6.9
Тип уязвимости CWE-573, CWE-354
Поставщик Python
Публичный эксплойт Нет

Authlib — это библиотека Python, которая создает серверы OAuth и OpenID Connect. До версии 1.6.9 в библиотеке Authlib Python была обнаружена уязвимость на уровне библиотеки, касающаяся проверки токенов идентификатора OpenID Connect (OIDC). В частности, внутренняя логика проверки хеша (_verify_hash), отвечающая за проверку утверждений at_hash (хеш токена доступа) и c_hash (хеш кода авторизации), демонстрирует поведение при отказе при открытии при обнаружении неподдерживаемого или неизвестного криптографического алгоритма.

Этот недостаток позволяет злоумышленнику обойти обязательную защиту целостности, предоставив поддельный токен идентификатора с намеренно нераспознанным параметром заголовка alg. Библиотека перехватывает неподдерживаемое состояние и молча возвращает True (проверка пройдена), что по своей сути нарушает фундаментальные принципы криптографического проектирования и прямые спецификации OIDC. Эта проблема исправлена ​​в версии 1.6.9.

Показать оригинальное описание (EN)

Authlib is a Python library which builds OAuth and OpenID Connect servers. Prior to version 1.6.9, a library-level vulnerability was identified in the Authlib Python library concerning the validation of OpenID Connect (OIDC) ID Tokens. Specifically, the internal hash verification logic (_verify_hash) responsible for validating the at_hash (Access Token Hash) and c_hash (Authorization Code Hash) claims exhibits a fail-open behavior when encountering an unsupported or unknown cryptographic algorithm. This flaw allows an attacker to bypass mandatory integrity protections by supplying a forged ID Token with a deliberately unrecognized alg header parameter. The library intercepts the unsupported state and silently returns True (validation passed), inherently violating fundamental cryptographic design principles and direct OIDC specifications. This issue has been patched in version 1.6.9.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-573
CWE-354

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Authlib Authlib
cpe:2.3:a:authlib:authlib:*:*:*:*:*:*:*:*
 1.6.9

Ссылки 3

https://github.com/authlib/authlib/commit/b9bb2b25bf8b7e01512d847a95c1749646eaa…
security-advisories@github.com
https://github.com/authlib/authlib/releases/tag/v1.6.9
security-advisories@github.com
https://github.com/authlib/authlib/security/advisories/GHSA-m344-f55w-2m6j
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-40260

Python

6,9

CVE-2026-40947

Python

2,9

CVE-2026-40192

Python

8,7

CVE-2026-40683

Python

7,7

CVE-2026-5713

Python

5,3