anonhaven

CVE-2026-4349

MEDIUM CVSS 4.0: 6,3 EPSS 0.03%
Обновлено 25 марта 2026
Параметр Значение
CVSS 6,3 (MEDIUM)
Тип уязвимости CWE-287 (Неправильная аутентификация)
Публичный эксплойт Нет

Уязвимость была обнаружена в Duende IdentityServer 4. Затронутый элемент представляет собой неизвестную функцию файла /connect/authorize компонента Token Renewal Endpoint. Такая манипуляция аргументом id_token_hint приводит к неправильной аутентификации.

Атаку можно инициировать удаленно. Считается, что атака имеет высокую сложность. Эксплуатация описывается как сложная.

С поставщиком заранее связались по поводу этой информации, но он никак не отреагировал.

Показать оригинальное описание (EN)

A vulnerability was determined in Duende IdentityServer4 up to 4.1.2. The affected element is an unknown function of the file /connect/authorize of the component Token Renewal Endpoint. This manipulation of the argument id_token_hint causes improper authentication. It is possible to initiate the attack remotely. The attack is considered to have high complexity. The exploitability is described as difficult. This vulnerability only affects products that are no longer supported by the maintainer.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Низкое
Частичное нарушение работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-287 Improper Authentication (Неправильная аутентификация)

Ссылки 3

https://vuldb.com/?ctiid.351380
cna@vuldb.com
https://vuldb.com/?id.351380
cna@vuldb.com
https://vuldb.com/?submit.772071
cna@vuldb.com
Share Post Share Share Share