Эксперты по кибербезопасности подтвердили наличие критической уязвимости в популярной библиотеке аутентификации и авторизации pac4j-jwt. Проблема, получившая идентификаторы BDU:2026-02532 и CVE-2026-29000, связана с фундаментальной ошибкой в компоненте JwtAuthenticator. Эта ошибка позволяет удаленному злоумышленнику обойти все механизмы проверки подлинности. Соответственно, уязвимость представляет собой серьезную угрозу для тысяч веб-приложений и сервисов, использующих эту библиотеку.
Детали уязвимости
Уязвимость затрагивает проверку криптографической подписи JSON Web Tokens (JWT). Технически, ошибка классифицируется как CWE-347 (некорректная проверка криптографической подписи). Проблема кроется в том, что компонент JwtAuthenticator в определенных конфигурациях некорректно проверяет подпись токена. В результате злоумышленник может сгенерировать специально сформированный вредоносный токен с неправильной или даже отсутствующей подписью. Система примет такой токен как легитимный, что эквивалентно полному обходу аутентификации.
Уровень опасности этой уязвимости оценивается как критический. Базовые оценки по всем версиям CVSS достигают максимального значения 10.0. Это означает, что для эксплуатации не требуются никакие привилегии или взаимодействие с пользователем. Уязвимость может быть использована удаленно через сеть. Успешная атака позволяет злоумышленнику получить полный контроль над целевой системой. Злоумышленник может читать и изменять любые данные, а также нарушать работоспособность приложения.
Под угрозой находятся все версии библиотеки pac4j-jwt с 4.0.0 по 4.5.9, с 5.0.0 по 5.7.9 и с 6.0.0 по 6.3.3. Библиотека широко используется в экосистеме Java для реализации единого входа (SSO) и управления доступом. Поэтому потенциально уязвимыми могут быть корпоративные порталы, внутренние сервисы и клиентские приложения. Важно отметить, что, согласно данным BDU, эксплойт для данной уязвимости уже существует в открытом доступе. Это значительно повышает риски, так как даже начинающие хакеры могут попытаться провести атаку.
Производитель, сообщество pac4j, уже подтвердил проблему и выпустил исправления. Уязвимость была устранена в новых версиях библиотеки. Разработчикам настоятельно рекомендуется немедленно обновить pac4j-jwt до актуальных патченных версий. Официальные рекомендации и детали исправлений опубликованы в блоге проекта. Однако в текущих геополитических условиях установка обновлений из зарубежных репозиториев требует предварительной оценки всех сопутствующих рисков.
Если немедленное обновление невозможно, специалисты рекомендуют принять комплекс компенсирующих мер. Во-первых, следует использовать межсетевые экраны для строгого ограничения удаленного доступа к уязвимым сервисам. Во-вторых, эффективной мерой является применение политики "белых списков" для доступа к приложениям. Кроме того, мониторинг событий безопасности с помощью SIEM-систем может помочь выявить подозрительную активность, связанную с обработкой JWT-токенов.
Также эксперты советуют организовать доступ к внутренним сервисам только через защищенные виртуальные частные сети (VPN). Более того, необходимо максимально ограничить прямой доступ к уязвимому программному обеспечению из интернета. Эти меры не устраняют уязвимость на уровне кода, но они существенно усложняют задачу для потенциального нарушителя. Они создают дополнительные барьеры на пути атаки.
Данный инцидент в очередной раз подчеркивает важность тщательного аудита зависимостей в проектах. Библиотеки для аутентификации и авторизации являются критически важными компонентами безопасности. Следовательно, любые уязвимости в них требуют оперативного реагирования. Разработчикам стоит интегрировать инструменты для автоматического сканирования зависимостей на наличие известных уязвимостей. Это позволяет выявлять подобные проблемы на ранних стадиях разработки или развертывания.
В заключение, уязвимость в pac4j-jwt является серьезной угрозой. Ее критический статус и наличие публичного эксплойта делают ситуацию особенно опасной. Администраторам и разработчикам необходимо безотлагательно проверить свои системы на использование уязвимых версий библиотеки. Далее, они должны применить исправления или компенсирующие меры. В противном случае злоумышленники могут получить несанкционированный доступ к конфиденциальным данным и функционалу приложений.
Ссылки
- https://bdu.fstec.ru/vul/2026-02532
- https://www.cve.org/CVERecord?id=CVE-2026-29000
- https://www.pac4j.org/blog/security-advisory-pac4j-jwt-jwtauthenticator.html
- https://www.codeant.ai/security-research/pac4j-jwt-authentication-bypass-public-key
- https://www.vulncheck.com/advisories/pac4j-jwt-jwtauthenticator-authentication-bypass
