Convoy: Ignorar a Verificação de Assinatura JWT Permite a Autenticação como Utilizadores Arbitrários

Convoy é um painel de gestão de servidores KVM para empresas de hospedagem. Da versão 3.9.0-beta até antes da versão 4.5.1, o método JWTService::decode() não verificava a assinatura criptográfica dos tokens JWT. Embora o método tenha configurado um assinante HMAC-SHA256 simétrico via lcobucci/jwt, ele apenas validou reivindicações baseadas em tempo (exp, nbf, iat) usando a restrição StrictValidAt. A restrição SignedWith não foi incluída na etapa de validação. Isso significa que um atacante poderia forjar ou adulterar payloads de token JWT - como modificar a reivindicação user_uuid - e o token seria aceito como válido, desde que as reivindicações baseadas em tempo fossem satisfeitas. Isso impacta diretamente o fluxo de autenticação SSO (LoginController::authorizeToken), permitindo que um atacante se autentique como qualquer utilizador, criando um token com um user_uuid arbitrário. Este problema foi corrigido na versão 4.5.1.