Platform
laravel
Component
laravel/passport
Opgelost in
13.0.1
13.7.1
CVE-2026-39976 beschrijft een authenticatie bypass kwetsbaarheid in Laravel Passport, specifiek gerelateerd aan client_credentials tokens. Deze kwetsbaarheid kan leiden tot onbedoelde authenticatie als een bestaande gebruiker, waardoor een aanvaller ongeautoriseerde toegang kan verkrijgen. De kwetsbaarheid treft versies van Laravel Passport tot en met 13.7.0, en een patch is beschikbaar in versie 13.7.1.
De impact van deze kwetsbaarheid is significant. Een aanvaller kan een client_credentials token genereren en, door de manier waarop de JWT sub claim wordt behandeld, deze onbedoeld gebruiken om zich te authenticeren als een bestaande gebruiker in het systeem. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige gegevens en functionaliteit. De kwetsbaarheid wordt verergerd door de configuratie waarbij EnsureClientIsResourceOwner middleware wordt gebruikt in combinatie met Passport::$clientUuids ingesteld op false. Dit scenario maakt het mogelijk om een gebruiker op te lossen in plaats van een client, waardoor de authenticatie bypass effectief wordt. De potentiële schade omvat datalekken, ongeautoriseerde wijzigingen aan data en mogelijk zelfs volledige controle over de applicatie, afhankelijk van de rechten van de gebruiker waarop de aanvaller zich authenticeert.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 2026-04-08. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes, maar de publicatie van de kwetsbaarheid en de relatieve eenvoud van de exploitatie maken het waarschijnlijk dat deze in de toekomst zal worden misbruikt. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven. Er zijn geen publieke proof-of-concept exploits bekend.
Exploit Status
EPSS
0.07% (20% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van Laravel Passport naar versie 13.7.1 of hoger, waar de kwetsbaarheid is verholpen. Als een upgrade momenteel niet mogelijk is, overweeg dan om de EnsureClientIsResourceOwner middleware te implementeren en zorg ervoor dat Passport::$clientUuids correct is ingesteld op true. Dit voorkomt dat de gebruiker wordt opgelost in plaats van de client. Daarnaast kan het implementeren van een Web Application Firewall (WAF) helpen om verdachte verzoeken te detecteren en te blokkeren. Controleer de Laravel Passport configuratie op ongebruikelijke instellingen die de kwetsbaarheid kunnen verergeren. Na de upgrade, controleer de logs op onverwachte authenticatie pogingen of toegang tot resources door onbekende clients.
Werk Laravel Passport bij naar versie 13.7.1 of hoger om de authenticatie bypass-vulnerabiliteit te mitigeren. Deze update corrigeert het probleem door gebruikersidentificatoren correct te valideren bij het genereren van (client_credentials) tokens.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-39976 beschrijft een kwetsbaarheid in Laravel Passport waardoor een aanvaller onbedoeld als een bestaande gebruiker kan authenticeren via client_credentials tokens.
Ja, als u een versie van Laravel Passport gebruikt die kleiner of gelijk is aan 13.7.0, dan bent u getroffen door deze kwetsbaarheid.
Upgrade Laravel Passport naar versie 13.7.1 of hoger. Als een upgrade niet direct mogelijk is, implementeer dan de EnsureClientIsResourceOwner middleware en zorg ervoor dat Passport::$clientUuids correct is ingesteld.
Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes, maar de kwetsbaarheid is bekend en kan in de toekomst worden misbruikt.
Raadpleeg de Laravel security advisories op de officiële Laravel website voor de meest recente informatie en updates: [https://laravel.com/docs/security](https://laravel.com/docs/security)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je composer.lock-bestand en we vertellen je direct of je getroffen bent.