Gratis scannen
HIGHCVE-2026-46419CVSS 7.5

CVE-2026-46419: Impersonation in Yubico webauthn-server-core

Platform

java

Component

yubico/java-webauthn-server

Opgelost in

2.8.2

Bekijk op NVD
Opslaan

CVE-2026-46419 beschrijft een kwetsbaarheid in Yubico webauthn-server-core, een Java-bibliotheek voor WebAuthn-authenticatie. Deze kwetsbaarheid is het gevolg van een incorrecte controle van de return value in de tweede factor flow, wat een aanvaller in staat stelt om een gebruiker te impersoneren. De kwetsbaarheid treft versies 2.8.0 tot en met 2.8.2. Een fix is beschikbaar in versie 2.8.2.

Java / Maven

Detecteer deze CVE in je project

Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.

pom.xml uploadenOndersteunde formaten: pom.xml · build.gradle

Impact en Aanvalsscenarios

Een succesvolle exploitatie van CVE-2026-46419 kan leiden tot impersonatie van gebruikers. Een aanvaller kan de kwetsbaarheid misbruiken om zich voor te doen als een legitieme gebruiker en toegang te krijgen tot beveiligde resources. Dit kan leiden tot ongeautoriseerde toegang tot accounts, data-inbreuken en andere schadelijke activiteiten. De impact is aanzienlijk, aangezien de kwetsbaarheid de integriteit van de authenticatie-infrastructuur aantast.

Uitbuitingscontext

De kwetsbaarheid is openbaar bekend gemaakt op 2026-05-14. Er is momenteel geen informatie beschikbaar over actieve exploits of campagnes die deze specifieke kwetsbaarheid uitbuiten. De EPSS score is nog niet bekend, maar gezien de ernst van de kwetsbaarheid (impersonatie) en de publicatie, wordt een medium tot hoge waarschijnlijkheid van exploitatie verwacht. De NVD (National Vulnerability Database) heeft de kwetsbaarheid ook opgenomen.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog
Rapporten1 dreigingsrapport

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.5HIGHAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityHighVereiste omstandigheden om te exploiterenPrivileges RequiredLowVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityHighRisico op blootstelling van gevoelige dataIntegrityHighRisico op ongeautoriseerde gegevenswijzigingAvailabilityHighRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Hoog — vereist een race condition, niet-standaard configuratie of specifieke omstandigheden.
Privileges Required
Laag — elk geldig gebruikersaccount is voldoende.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
Integrity
Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
Availability
Hoog — volledige crash of uitputting van resources. Totale denial of service.

Getroffen Software

Componentyubico/java-webauthn-server
LeverancierYubico
Minimumversie2.8.0
Maximumversie2.8.2
Opgelost in2.8.2

Zwakheidsclassificatie (CWE)

CWE-253

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd

Mitigatie en Workarounds

De primaire mitigatie voor CVE-2026-46419 is het upgraden naar de versie 2.8.2 van Yubico webauthn-server-core. Indien een directe upgrade niet mogelijk is, kan het implementeren van strikte authenticatiebeleid en het monitoren van de authenticatielogboeken helpen bij het detecteren van verdachte activiteiten. Controleer de configuratie van de WebAuthn-integratie om te verzekeren dat de return value checks correct worden uitgevoerd. Na de upgrade, verifieer de authenticatiefuncties door te testen met verschillende gebruikers en scenario's.

Hoe te verhelpenwordt vertaald…

Actualice a la versión 2.8.2 o superior para corregir la vulnerabilidad de impersonación. Esta actualización corrige una verificación incorrecta del valor de retorno de una función en el flujo de segundo factor, mitigando el riesgo de ataques de suplantación de identidad.

Veelgestelde vragen

Wat is CVE-2026-46419 — Impersonation in Yubico webauthn-server-core?

CVE-2026-46419 is een kwetsbaarheid in Yubico webauthn-server-core die een incorrecte return value check in de tweede factor flow veroorzaakt, wat kan leiden tot impersonatie.

Am I affected by CVE-2026-46419 in Yubico webauthn-server-core?

Ja, als u Yubico webauthn-server-core gebruikt in de versie 2.8.0 tot en met 2.8.2, bent u kwetsbaar voor deze kwetsbaarheid.

How do I fix CVE-2026-46419 in Yubico webauthn-server-core?

Upgrade naar de versie 2.8.2 van Yubico webauthn-server-core. Indien een upgrade niet direct mogelijk is, implementeer dan strikte authenticatiebeleid.

Is CVE-2026-46419 being actively exploited?

Momenteel is er geen informatie beschikbaar over actieve exploits, maar de kwetsbaarheid is recentelijk openbaar gemaakt, dus het risico op exploitatie bestaat.

Where can I find the official Yubico advisory for CVE-2026-46419?

Raadpleeg de Yubico Security Advisories website voor de officiële aankondiging en details over CVE-2026-46419: [https://www.yubico.com/security/advisories/]

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
Java / Maven

Detecteer deze CVE in je project

Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.

pom.xml uploadenOndersteunde formaten: pom.xml · build.gradle
livefree scan

Scan nu uw Java / Maven project — geen account

Upload your pom.xml and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...