OpenOlat — это веб-платформа электронного обучения с открытым исходным кодом для преподавания, обучения, оценки и общения. Начиная с версии 10.5.4 и до версии 20.2.5, реализация неявного потока OpenID Connect OpenOLAT не проверяет подписи JWT. Метод JSONWebToken.parse() автоматически отбрасывает сегмент подписи компактного JWT (header.payload.signature), а методы getAccessToken() как в OpenIdConnectApi, так и в OpenIdConnectFullConfigurableApi проверяют только поля уровня утверждения (эмитент, аудитория, состояние, nonce) без какой-либо проверки криптографической подписи по конечной точке JWKS поставщика удостоверений.
Эта проблема исправлена в версии 20.2.5.
Показать оригинальное описание (EN)
OpenOlat is an open source web-based e-learning platform for teaching, learning, assessment and communication. From version 10.5.4 to before version 20.2.5, OpenOLAT's OpenID Connect implicit flow implementation does not verify JWT signatures. The JSONWebToken.parse() method silently discards the signature segment of the compact JWT (header.payload.signature), and the getAccessToken() methods in both OpenIdConnectApi and OpenIdConnectFullConfigurableApi only validate claim-level fields (issuer, audience, state, nonce) without any cryptographic signature verification against the Identity Provider's JWKS endpoint. This issue has been patched in version 20.2.5.
Характеристики атаки
Последствия
Строка CVSS v3.1