В начале марта 2026 года была выявлена и подтверждена разработчиками серьезная уязвимость в библиотеке Authlib, широко используемой для реализации протоколов OAuth и OpenID Connect в веб-приложениях на Python. Уязвимость, получившая идентификаторы BDU:2026-04355 и CVE-2026-28802, связана с фундаментальной ошибкой в проверке криптографических подписей в компоненте JOSE (Javascript Object Signing and Encryption). Согласно классификации CWE, ошибка относится к типу CWE-347, то есть к некорректной проверке подписи.
Детали уязвимости
Эта уязвимость архитектурного уровня затрагивает версии библиотеки 1.6.5 и 1.6.6. Она позволяет удаленному злоумышленнику обойти механизмы аутентификации и авторизации. В частности, эксплуатируя эту слабость, атакующий может сгенерировать поддельные токены доступа (JWT) с неверной или отсутствующей подписью, которые система будет ошибочно принимать как валидные. В результате злоумышленник получает возможность выдать себя за другого пользователя, получить несанкционированный доступ к защищенным данным или выполнить действия от имени легитимных учетных записей.
Уровень опасности уязвимости оценен как критический. Базовые оценки по шкале CVSS составляют максимальные 10 баллов для CVSS 2.0 и 9.8 баллов для CVSS 3.1. Более современная оценка CVSS 4.0 указывает на высокий уровень опасности с оценкой 7.7. Такие высокие баллы обусловлены тем, что для эксплуатации не требуется ни аутентификации пользователя, ни его взаимодействия с системой, а потенциальный ущерб затрагивает конфиденциальность, целостность и доступность данных. Вектор атаки классифицируется как "подмена при взаимодействии", что подчеркивает риски манипуляции с токенами безопасности.
Угроза является актуальной, поскольку, по данным Банка данных угроз (BDU), в открытом доступе уже существуют рабочие эксплойты, упрощающие атаку для злоумышленников. Следовательно, окно для потенциальных компрометаций систем, использующих уязвимые версии Authlib, может быть весьма коротким. Библиотека Authlib интегрируется во множество веб-сервисов и приложений, что расширяет потенциальную поверхность атаки. Хотя точный перечень операционных систем и платформ уточняется, любая система, развернувшая уязвимое прикладное ПО, находится в зоне риска.
Производитель, сообщество свободного программного обеспечения, оперативно отреагировал на инцидент. Уязвимость уже устранена в более новых версиях библиотеки. Основной и единственной рекомендованной мерой защиты является немедленное обновление Authlib до патченной версии. Разработчики выпустили соответствующие коммиты в репозитории проекта, которые полностью закрывают выявленную проблему. Администраторам и разработчикам настоятельно рекомендуется изучить официальные рекомендации по безопасности на GitHub и применить исправления.
Сообщество информационной безопасности подчеркивает критическую важность своевременного обновления библиотек, отвечающих за аутентификацию и авторизацию. Подобные компоненты часто становятся главной целью для атакующих групп, включая APT, поскольку предоставляют прямой доступ к корпоративным данным и функциям. Инцидент с Authlib служит очередным напоминанием о необходимости внедрения процессов управления уязвимостями и оперативного применения исправлений безопасности, особенно для критически важных зависимостей.
Таким образом, обнаруженная уязвимость в библиотеке Authlib представляет значительный риск для безопасности веб-приложений. Однако благодаря оперативной работе сообщества и наличию четкого пути исправления, негативные последствия можно минимизировать. Системным администраторам и разработчикам необходимо в приоритетном порядке проверить свои проекты на наличие уязвимых версий Authlib и выполнить обновление в соответствии с официальными инструкциями.
Ссылки
- https://bdu.fstec.ru/vul/2026-04355
- https://www.cve.org/CVERecord?id=CVE-2026-28802
- https://github.com/authlib/authlib/security/advisories/GHSA-7wc2-qxgw-g8gg
- https://github.com/authlib/authlib/commit/a61c2acb807496e67f32051b5f1b1d5ccf8f0a75
- https://github.com/authlib/authlib/commit/b87c32ed07b8ae7f805873e1c9cafd1016761df7
