OpenOLAT : Contournement de l’authentification via un JWT forgé dans le flux implicite OIDC

OpenOlat est une plateforme d’e-learning open source basée sur le web pour l’enseignement, l’apprentissage, l’évaluation et la communication. De la version 10.5.4 à la version antérieure à la version 20.2.5, l’implémentation du flux implicite OpenID Connect d’OpenOLAT ne vérifie pas les signatures JWT. La méthode JSONWebToken.parse() ignore silencieusement le segment de signature du JWT compact (header.payload.signature), et les méthodes getAccessToken() dans OpenIdConnectApi et OpenIdConnectFullConfigurableApi valident uniquement les champs au niveau de la revendication (issuer, audience, state, nonce) sans aucune vérification de signature cryptographique par rapport au point de terminaison JWKS du fournisseur d’identité. Ce problème a été corrigé dans la version 20.2.5.