Plataforma
other
Componente
asvs
Corregido en
1.0.1
El CVE-2025-27370 describe una vulnerabilidad de inyección de audiencia en OpenID Connect Core, específicamente en versiones desde 0 hasta 1.0 errata set 2. Esta falla permite a un servidor de autorización malicioso manipular los valores de la audiencia, lo que podría resultar en la suplantación de identidad del cliente. La vulnerabilidad se explota al utilizar el mecanismo de autenticación privatekeyjwt y se ha solucionado en la versión 1.0.1.
La inyección de audiencia en OpenID Connect Core permite a un atacante comprometer la confianza entre un cliente y un servidor de autorización. Un servidor de autorización malicioso podría engañar a un cliente para que acepte tokens JWT (JSON Web Tokens) con audiencias manipuladas. Esto podría permitir al atacante acceder a recursos protegidos en nombre del cliente, o incluso suplantar la identidad del cliente ante otros servicios. El impacto potencial incluye la exposición de datos sensibles, la toma de control de cuentas y la interrupción de servicios. La capacidad de manipular la audiencia abre la puerta a ataques de tipo 'man-in-the-middle', donde el atacante intercepta y modifica los tokens JWT para obtener acceso no autorizado.
El CVE-2025-27370 fue publicado el 3 de marzo de 2025. La probabilidad de explotación se considera media, dado que requiere un atacante con control sobre el servidor de autorización y la capacidad de manipular los tokens JWT. Actualmente no se han reportado campañas de explotación activas, pero la disponibilidad de información sobre la vulnerabilidad podría aumentar el riesgo en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles indicadores de compromiso.
Estado del Exploit
EPSS
0.12% (30% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para el CVE-2025-27370 es actualizar a OpenID Connect Core versión 1.0.1 o superior. Si la actualización no es inmediatamente posible, se recomienda revisar y endurecer la validación de la audiencia en el lado del cliente. Implementar reglas de firewall o proxies que restrinjan el acceso al endpoint de token del servidor de autorización puede ayudar a limitar la superficie de ataque. Además, es crucial monitorear los logs del servidor de autorización en busca de patrones sospechosos de manipulación de la audiencia.
Actualice a una versión de la biblioteca OpenID Connect Core que haya abordado esta vulnerabilidad. Consulte las notas de la versión o el registro de cambios de la biblioteca para obtener información sobre la versión corregida. Implemente validaciones adicionales en el lado del cliente para verificar la validez de la audiencia en los tokens JWT recibidos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-27370 is a medium severity vulnerability in OpenID Connect Core (versions 0–1.0 errata set 2) that allows an attacker to inject malicious values into the audience claim of JWTs, potentially enabling impersonation.
If you are using OpenID Connect Core versions 0 through 1.0 errata set 2 and utilize the privatekeyjwt authentication mechanism, you are potentially affected by this vulnerability.
Upgrade to OpenID Connect Core version 1.0.1 or later to address the vulnerability. As a temporary workaround, implement stricter audience claim validation within your Client application.
Currently, there is no widespread evidence of active exploitation, but the vulnerability's nature suggests it could be exploited once a public proof-of-concept is available.
Refer to the OpenID Foundation website and relevant security mailing lists for official advisories and updates regarding CVE-2025-27370.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.