Platform
other
Component
openolat
Opgelost in
10.5.5
CVE-2026-31946 is een authenticatie bypass kwetsbaarheid in OpenOLAT. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om de authenticatie te omzeilen en ongeautoriseerde toegang te krijgen tot het systeem. De impact is hoog, aangezien aanvallers mogelijk gevoelige informatie kunnen inzien of wijzigen. De kwetsbaarheid treft OpenOLAT versies 10.5.4 tot en met versies lager dan 20.2.5. De kwetsbaarheid is verholpen in versie 20.2.5.
CVE-2026-31946 in OpenOLAT, een open-source webgebaseerd e-learningplatform, stelt een aanvaller in staat de beveiliging van het platform te compromitteren door JWT-tokenmanipulatie. Specifiek verifieert de OpenID Connect impliciete flow-implementatie in OpenOLAT-versies van 10.5.4 tot vóór 20.2.5 geen JWT-handtekeningen. Dit betekent dat een aanvaller kwaadaardige JWT-tokens kan maken die legitiem lijken, aangezien de JSONWebToken.parse()-methode het handtekeningsegment van de compacte JWT (header.payload.signature) stilzwijgend negeert. Het ontbreken van handtekeningvalidatie maakt het mogelijk om valse claims te injecteren, wat kan leiden tot identiteitsfraude van gebruikers, ongeautoriseerde toegang tot gevoelige gegevens of zelfs de uitvoering van willekeurige code op de server, afhankelijk van hoe de gemanipuleerde claims worden gebruikt. De impact is kritiek, vooral in omgevingen waar de databeveiliging van studenten en docenten van het grootste belang is.
Een aanvaller kan deze kwetsbaarheid exploiteren als hij in staat is OpenID Connect-verzoeken naar OpenOLAT te sturen. Dit kan worden bereikt via een kwaadaardige website die gebruikers naar de OpenOLAT-aanmeldpagina omleidt, of door netwerkverkeer te onderscheppen. Zodra de aanvaller toegang heeft tot een geldig JWT-token, kan hij de handtekening en de claims manipuleren om ongeautoriseerde toegang tot de bronnen van het platform te krijgen. De moeilijkheidsgraad van de exploitatie hangt af van de implementatieomgeving en de extra beveiligingsmaatregelen die zijn getroffen. Het ontbreken van JWT-handtekeningvalidatie is een fundamentele fout die de exploitatie vergemakkelijkt, zelfs voor aanvallers met beperkte technische expertise.
Educational institutions and organizations using OpenOLAT for online learning are at significant risk. Specifically, those relying on OpenID Connect for authentication and using versions between 10.5.4 and 20.2.4 are particularly vulnerable. Shared hosting environments where OpenOLAT instances are deployed alongside other applications could also be affected if proper isolation is not in place.
• linux / server: Monitor OpenOLAT logs for JWT requests lacking a signature or with invalid claims. Use journalctl -u openolat to filter for relevant log entries.
journalctl -u openolat | grep -i "JWT signature" -i "invalid claim"• generic web: Use curl to test OpenID Connect endpoints with crafted JWTs lacking signatures to see if they are accepted.
curl -H "Authorization: Bearer <malformed_jwt>" <openid_connect_endpoint>• database (mysql): If OpenOLAT stores JWTs in the database (check configuration), query the relevant tables for JWTs without a signature field or with suspicious claim values. (Specific query depends on OpenOLAT's database schema).
disclosure
Exploit Status
EPSS
0.03% (7% percentiel)
CISA SSVC
CVSS-vector
De belangrijkste mitigatie voor CVE-2026-31946 is het upgraden van OpenOLAT naar versie 20.2.5 of hoger. Deze versie bevat een correctie die JWT-handtekeningen correct valideert, waardoor tokenmanipulatie wordt voorkomen. In de tussentijd wordt, als tijdelijke maatregel, aanbevolen om de toegang tot het platform vanaf onbetrouwbare netwerken te beperken en de auditlogboeken te controleren op verdachte activiteiten. Het is ook cruciaal om de OpenID Connect-configuratie te bekijken om ervoor te zorgen dat de vereiste claims worden gebruikt voor autorisatie en dat robuuste beveiligingsbeleid worden geïmplementeerd om gevoelige gegevens te beschermen. Regelmatige penetratietests worden ook aanbevolen om potentiële kwetsbaarheden te identificeren en te verhelpen.
Update OpenOLAT naar versie 20.2.5 of hoger. Deze versie corrigeert de authentication bypass (authenticatie omzeiling) kwetsbaarheid door de JWT signatures (JWT handtekeningen) in de OIDC implicit flow correct te verifiëren.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een JWT (JSON Web Token) is een open standaard voor het veilig overdragen van informatie als een JSON-object. Het wordt vaak gebruikt voor authenticatie en autorisatie.
Het valideren van een JWT-handtekening zorgt ervoor dat het token niet is gemanipuleerd door een aanvaller. Zonder validatie kan een aanvaller het token wijzigen om ongeautoriseerde toegang te krijgen.
Als tijdelijke maatregel, beperk de toegang tot het platform vanaf onbetrouwbare netwerken en controleer de auditlogboeken.
Ja, alle OpenOLAT-installaties die de OpenID Connect impliciete flow gebruiken en zich in het versienummerbereik van 10.5.4 tot 20.2.5 bevinden, zijn kwetsbaar.
U kunt meer informatie over OpenID Connect vinden op de officiële website: https://openid.net/
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.