OpenOLAT: Authentication bypass via forged JWT in OIDC implicit flow

OpenOlat is een open source web-based e-learning platform voor onderwijs, leren, beoordeling en communicatie. Van versie 10.5.4 tot voor versie 20.2.5, verifieert OpenOLAT's OpenID Connect implicit flow implementatie geen JWT signatures (JWT handtekeningen). De JSONWebToken.parse() methode negeert stilzwijgend het signature segment (handtekeningsegment) van de compacte JWT (header.payload.signature), en de getAccessToken() methoden in zowel OpenIdConnectApi als OpenIdConnectFullConfigurableApi valideren alleen claim-level velden (issuer, audience, state, nonce) zonder enige cryptografische signature verification (handtekeningverificatie) tegen het JWKS endpoint (JWKS eindpunt) van de Identity Provider. Dit probleem is verholpen in versie 20.2.5.