Escanear grátis
HIGHCVE-2026-46419CVSS 7.5

CVE-2026-46419: Impersonação em Yubico webauthn-server-core

Plataforma

java

Componente

yubico/java-webauthn-server

Corrigido em

2.8.2

Ver no NVD
Salvar

A vulnerabilidade CVE-2026-46419 afeta o Yubico webauthn-server-core, uma biblioteca Java para WebAuthn. Uma verificação incorreta do valor de retorno de uma função no fluxo de segundo fator pode levar a um ataque de impersonação, permitindo que um atacante se passe por um usuário legítimo. Essa falha afeta as versões 2.8.0 até 2.8.2 do webauthn-server-core. A correção foi disponibilizada na versão 2.8.2.

Java / Maven

Detecte esta CVE no seu projeto

Envie seu arquivo pom.xml e descubra na hora se você está afetado.

Enviar pom.xmlFormatos suportados: pom.xml · build.gradle

Impacto e Cenários de Ataque

A exploração bem-sucedida desta vulnerabilidade permite que um atacante realize ataques de impersonação, obtendo acesso não autorizado a contas de usuários. Em um cenário de ataque, um atacante poderia interceptar o fluxo de autenticação WebAuthn e, aproveitando a falha na verificação do retorno da função, se passar por um usuário legítimo. Isso pode resultar em roubo de dados, acesso a sistemas confidenciais e comprometimento da segurança da aplicação. A severidade do impacto é alta, pois a impersonação pode ter consequências graves para a segurança da organização.

Contexto de Exploração

A vulnerabilidade foi publicada em 2026-05-14. A probabilidade de exploração é considerada média, pois requer um conhecimento aprofundado do protocolo WebAuthn e da implementação do webauthn-server-core. Não há relatos públicos de exploração ativa desta vulnerabilidade até o momento. Consulte o NVD (National Vulnerability Database) e o CISA (Cybersecurity and Infrastructure Security Agency) para atualizações.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta
Relatórios1 relatório de ameaça

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.5HIGHAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityHighCondições necessárias para explorarPrivileges RequiredLowNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityHighRisco de exposição de dados sensíveisIntegrityHighRisco de modificação não autorizada de dadosAvailabilityHighRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Alta — exige condição de corrida, configuração não padrão ou circunstâncias específicas.
Privileges Required
Baixo — qualquer conta de usuário válida é suficiente.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
Integrity
Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
Availability
Alto — falha completa ou esgotamento de recursos. Negação de serviço total.

Software Afetado

Componenteyubico/java-webauthn-server
FornecedorYubico
Versão mínima2.8.0
Versão máxima2.8.2
Corrigido em2.8.2

Classificação de Fraqueza (CWE)

CWE-253

Linha do tempo

  1. Reservado
  2. Publicada

Mitigação e Soluções Alternativas

A mitigação primária é a atualização imediata para a versão 2.8.2 do Yubico webauthn-server-core. Se a atualização imediata não for possível, implemente medidas de segurança adicionais, como a aplicação de políticas de acesso rigorosas e o monitoramento contínuo dos logs de autenticação. Considere a implementação de um Web Application Firewall (WAF) para detectar e bloquear tentativas de ataques de impersonação. Após a atualização, realize testes de segurança para verificar a correção da vulnerabilidade.

Como corrigirtraduzindo…

Actualice a la versión 2.8.2 o superior para corregir la vulnerabilidad de impersonación. Esta actualización corrige una verificación incorrecta del valor de retorno de una función en el flujo de segundo factor, mitigando el riesgo de ataques de suplantación de identidad.

Perguntas frequentes

O que é CVE-2026-46419 — Impersonação em Yubico webauthn-server-core?

CVE-2026-46419 é uma vulnerabilidade em Yubico webauthn-server-core que permite ataques de impersonação devido a uma verificação incorreta de retorno de função.

Estou afetado por CVE-2026-46419 em Yubico webauthn-server-core?

Se você estiver utilizando uma versão do Yubico webauthn-server-core entre 2.8.0 e 2.8.2, você está potencialmente afetado.

Como corrigir CVE-2026-46419 em Yubico webauthn-server-core?

Atualize para a versão corrigida 2.8.2 do Yubico webauthn-server-core.

CVE-2026-46419 em Yubico webauthn-server-core está sendo ativamente explorado?

Até o momento, não há relatos públicos de exploração ativa desta vulnerabilidade, mas a probabilidade de exploração não pode ser descartada.

Onde posso encontrar o advisory oficial do Yubico para CVE-2026-46419?

Consulte o site oficial do Yubico e o NVD (National Vulnerability Database) para obter informações e atualizações sobre esta vulnerabilidade.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
Java / Maven

Detecte esta CVE no seu projeto

Envie seu arquivo pom.xml e descubra na hora se você está afetado.

Enviar pom.xmlFormatos suportados: pom.xml · build.gradle
ao vivoverificação gratuita

Escaneie seu projeto Java / Maven agora — sem conta

Envie seu pom.xml e receba o relatório de vulnerabilidades instantaneamente. Sem conta. Enviar o arquivo é só o começo: com uma conta você obtém monitoramento contínuo, alertas por Slack/e-mail, relatórios multi-projeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...