CVE-2021-22573 est une vulnérabilité du client OAuth de Google pour Java, avec un score de gravité de 8.7 de 10 à l'échelle CVSS.
Quelles sont les causes de la vulnérabilité CVE-2021-22573?
La vulnérabilité provient du fait que "le vérificateur IDToken ne vérifie pas si le jeton est correctement signé,” selon l'avis de sécurité. La vérification de la signature est nécessaire pour que l'on sache que la charge utile du jeton provient d'un fournisseur valide.
"Un attaquant peut fournir un jeton compromis avec une charge utile personnalisée. Le jeton passera la validation côté client. Nous vous recommandons de passer à la version 1.33.3 ou au-dessus," ajoute l'avis. Le problème a été découvert et signalé en mars 12 de Tamjid Al Rahat, un doctorat. étudiant en informatique à l'université de Virginie. Il a été récompensé $5,000 pour avoir révélé la faille, selon le programme bug bounty de Google.
Plus tôt ce mois-ci, une attaque de phishing utilisant le service de relais SMTP de Google a été détecté en train de livrer des e-mails de phishing aux utilisateurs. L'attaque a été observée par des chercheurs en sécurité d'Avanan.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: