CVE-2026-46419: Impersonation in Yubico webauthn-server-core
Plateforme
java
Composant
yubico/java-webauthn-server
Corrigé dans
2.8.2
La vulnérabilité CVE-2026-46419 affecte Yubico webauthn-server-core, une bibliothèque Java pour l'authentification WebAuthn. Elle permet à un attaquant de réaliser une attaque par impersonation en exploitant une vérification incorrecte du retour de fonction dans le flux d'authentification à deux facteurs. Les versions concernées sont 2.8.0 à 2.8.2. Une correction est disponible dans la version 2.8.2.
Détecte cette CVE dans ton projet
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.
Impact et Scénarios d'Attaque
Cette vulnérabilité d'impersonation permet à un attaquant d'usurper l'identité d'un utilisateur authentifié. En exploitant cette faille, un attaquant pourrait obtenir un accès non autorisé aux ressources protégées par l'authentification à deux facteurs, contournant ainsi les mesures de sécurité mises en place. Le risque est particulièrement élevé dans les environnements où l'authentification à deux facteurs est utilisée pour protéger des données sensibles ou des systèmes critiques. Bien qu'il n'y ait pas de rapport d'exploitation publique connu à ce jour, la nature de la vulnérabilité et son impact potentiel en font une cible attrayante pour les attaquants. Une exploitation réussie pourrait entraîner une compromission significative de la sécurité du système.
Contexte d'Exploitation
La vulnérabilité CVE-2026-46419 a été publiée le 14 mai 2026. Sa sévérité est classée comme élevée (CVSS 7.5). Aucune exploitation active n'a été signalée publiquement à ce jour. Il n'y a pas d'indication que cette vulnérabilité figure sur KEV ou ait un score EPSS élevé, ce qui suggère une probabilité d'exploitation relativement faible à court terme. Consultez l'avis de sécurité Yubico pour plus d'informations.
Renseignement sur les Menaces
Statut de l'Exploit
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Élevée — nécessite une condition de course, configuration non standard ou circonstances spécifiques.
- Privileges Required
- Faible — tout compte utilisateur valide est suffisant.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
- Integrity
- Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
- Availability
- Élevé — panne complète ou épuisement des ressources. Déni de service total.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
Mitigation et Contournements
La mitigation principale consiste à mettre à jour Yubico webauthn-server-core vers la version 2.8.2 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé d'examiner attentivement les flux d'authentification à deux facteurs et de mettre en œuvre des mesures de sécurité supplémentaires, telles que la surveillance accrue des tentatives d'authentification suspectes. En l'absence de mise à jour, il n'existe pas de contournement direct, mais une analyse approfondie du code pourrait révéler des points faibles exploitables et permettre la mise en place de règles WAF spécifiques. Après la mise à jour, vérifiez le bon fonctionnement de l'authentification à deux facteurs en effectuant des tests d'authentification avec différents navigateurs et appareils.
Comment corrigertraduction en cours…
Actualice a la versión 2.8.2 o posterior para corregir la vulnerabilidad de impersonación. Esta actualización corrige una verificación incorrecta del valor de retorno de una función en el flujo de segundo factor, mitigando el riesgo de ataques de suplantación de identidad.
Questions fréquentes
What is CVE-2026-46419 — impersonation in Yubico webauthn-server-core?
CVE-2026-46419 est une vulnérabilité d'impersonation dans Yubico webauthn-server-core, permettant à un attaquant d'usurper l'identité d'un utilisateur authentifié. Elle affecte les versions 2.8.0 à 2.8.2.
Am I affected by CVE-2026-46419 in Yubico webauthn-server-core?
Vous êtes affecté si vous utilisez Yubico webauthn-server-core versions 2.8.0 à 2.8.2. Vérifiez votre version et mettez à jour si nécessaire.
How do I fix CVE-2026-46419 in Yubico webauthn-server-core?
La correction consiste à mettre à jour Yubico webauthn-server-core vers la version 2.8.2 ou supérieure. Si la mise à jour n'est pas possible, examinez attentivement vos flux d'authentification.
Is CVE-2026-46419 being actively exploited?
À ce jour, aucune exploitation active de CVE-2026-46419 n'a été signalée publiquement, mais la vulnérabilité reste une cible potentielle.
Where can I find the official Yubico advisory for CVE-2026-46419?
Consultez l'avis de sécurité Yubico pour obtenir les informations les plus récentes et les instructions de correction : [https://www.yubico.com/security/advisories/](https://www.yubico.com/security/advisories/)
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Détecte cette CVE dans ton projet
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.
Scannez votre projet Java / Maven maintenant — sans compte
Téléchargez votre pom.xml et obtenez le rapport de vulnérabilité instantanément. Pas de compte. Le téléchargement du fichier n'est qu'un début : avec un compte, vous bénéficiez d'une surveillance continue, d'alertes Slack/e-mail, de rapports multi-projets et en marque blanche.
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...