CVE-2021-22573 est une vulnérabilité du client OAuth de Google pour Java, avec un score de gravité de 8.7 de 10 à l'échelle CVSS.
Quelles sont les causes de la vulnérabilité CVE-2021-22573?
La vulnérabilité provient du fait que "le vérificateur IDToken ne vérifie pas si le jeton est correctement signé,” selon l'avis de sécurité. La vérification de la signature est nécessaire pour que l'on sache que la charge utile du jeton provient d'un fournisseur valide.
"Un attaquant peut fournir un jeton compromis avec une charge utile personnalisée. Le jeton passera la validation côté client. Nous vous recommandons de passer à la version 1.33.3 ou au-dessus," ajoute l'avis. Le problème a été découvert et signalé en mars 12 de Tamjid Al Rahat, un doctorat. étudiant en informatique à l'université de Virginie. Il a été récompensé $5,000 pour avoir révélé la faille, selon le programme bug bounty de Google.
Plus tôt ce mois-ci, une attaque de phishing utilisant le service de relais SMTP de Google a été détecté en train de livrer des e-mails de phishing aux utilisateurs. L'attaque a été observée par des chercheurs en sécurité d'Avanan.