Kostenlos scannen
HIGHCVE-2026-46419CVSS 7.5

CVE-2026-46419: Impersonation in Yubico webauthn-server-core

Plattform

java

Komponente

yubico/java-webauthn-server

Behoben in

2.8.2

Auf NVD ansehen
Speichern

CVE-2026-46419 affects Yubico webauthn-server-core versions 2.8.0 through 2.8.2. This vulnerability stems from an incorrect return value check within the second factor authentication flow, potentially enabling an attacker to impersonate legitimate users. The flaw has been resolved in version 2.8.2, and users are strongly advised to upgrade immediately.

Java / Maven

Erkenne diese CVE in deinem Projekt

Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.

pom.xml hochladenUnterstützte Formate: pom.xml · build.gradle

Auswirkungen und Angriffsszenarien

The core impact of CVE-2026-46419 is the potential for user impersonation. An attacker exploiting this vulnerability could bypass the second factor authentication, gaining unauthorized access to user accounts and sensitive data. This could lead to data breaches, account takeover, and further compromise of systems relying on webauthn-server-core for authentication. The scope of impact depends on the sensitivity of the data protected by the authentication system; a successful impersonation could grant access to critical resources and escalate privileges.

Ausnutzungskontext

CVE-2026-46419 was published on 2026-05-14. The vulnerability's severity is rated HIGH (CVSS 7.5). There is currently no public proof-of-concept (POC) code available, and no reports of active exploitation campaigns. The vulnerability is not currently listed on KEV or EPSS, suggesting a low to medium probability of exploitation in the near term.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch
Berichte1 Bedrohungsbericht

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.5HIGHAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityHighBedingungen zur erfolgreichen AusnutzungPrivileges RequiredLowErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityHighRisiko der Offenlegung sensibler DatenIntegrityHighRisiko nicht autorisierter DatenänderungAvailabilityHighRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Hoch — erfordert eine Race-Condition, Nicht-Standard-Konfiguration oder spezifische Umstände.
Privileges Required
Niedrig — jedes gültige Benutzerkonto ist ausreichend.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
Integrity
Hoch — Angreifer kann beliebige Daten schreiben, ändern oder löschen.
Availability
Hoch — vollständiger Absturz oder Ressourcenerschöpfung. Totaler Denial of Service.

Betroffene Software

Komponenteyubico/java-webauthn-server
HerstellerYubico
Mindestversion2.8.0
Höchstversion2.8.2
Behoben in2.8.2

Schwachstellen-Klassifikation (CWE)

CWE-253

Zeitleiste

  1. Reserviert
  2. Veröffentlicht

Mitigation und Workarounds

The primary mitigation for CVE-2026-46419 is to upgrade Yubico webauthn-server-core to version 2.8.2 or later. If an immediate upgrade is not feasible due to compatibility concerns or system downtime requirements, consider implementing stricter rate limiting on authentication attempts to detect and block potential brute-force impersonation attempts. Monitor authentication logs for unusual activity, particularly failed second factor attempts followed by successful logins from unexpected locations. After upgrading, verify the fix by attempting a second-factor authentication and confirming that the return value check functions as expected.

So behebenwird übersetzt…

Actualice a la versión 2.8.2 o superior para corregir la vulnerabilidad de impersonación. Esta actualización corrige una verificación incorrecta del valor de retorno de una función en el flujo de segundo factor, mitigando el riesgo de ataques de suplantación de identidad.

Häufig gestellte Fragen

What is CVE-2026-46419 — Impersonation in Yubico webauthn-server-core?

CVE-2026-46419 is a HIGH severity vulnerability in Yubico webauthn-server-core versions 2.8.0–2.8.2. An incorrect return value check allows an attacker to potentially impersonate users during second factor authentication.

Am I affected by CVE-2026-46419 in Yubico webauthn-server-core?

You are affected if you are using Yubico webauthn-server-core versions 2.8.0, 2.8.1, or 2.8.2. Upgrade to version 2.8.2 to resolve the vulnerability.

How do I fix CVE-2026-46419 in Yubico webauthn-server-core?

The recommended fix is to upgrade to version 2.8.2 or later. If immediate upgrade is not possible, implement stricter rate limiting and monitor authentication logs.

Is CVE-2026-46419 being actively exploited?

As of the publication date, there are no reports of active exploitation campaigns or publicly available proof-of-concept code for CVE-2026-46419.

Where can I find the official Yubico advisory for CVE-2026-46419?

Please refer to the official Yubico security advisory for detailed information and updates regarding CVE-2026-46419. Check the Yubico security website for the latest announcements.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
Java / Maven

Erkenne diese CVE in deinem Projekt

Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.

pom.xml hochladenUnterstützte Formate: pom.xml · build.gradle
liveKostenloser Scan

Scannen Sie jetzt Ihr Java / Maven-Projekt – kein Konto

Laden Sie Ihr pom.xml hoch und erhalten Sie den Schwachstellenbericht sofort. Kein Konto. Das Hochladen der Datei ist nur der Anfang: mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack-/E-Mail-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...