免费扫描
HIGHCVE-2026-46419CVSS 7.5

CVE-2026-46419: 身份欺骗 in Yubico webauthn-server-core

平台

java

组件

yubico/java-webauthn-server

修复版本

2.8.2

在NVD查看
保存

CVE-2026-46419 描述了 Yubico webauthn-server-core (java-webauthn-server) 中一个身份欺骗漏洞。由于函数返回值检查不当,攻击者可能利用此漏洞进行身份欺骗攻击。此漏洞影响 Yubico webauthn-server-core 版本 2.8.0 至 2.8.2。建议用户尽快升级至 2.8.2 以缓解风险。

Java / Maven

检测此 CVE 是否影响你的项目

上传你的 pom.xml 文件,立即知道是否受影响。

上传 pom.xml支持的格式: pom.xml · build.gradle

影响与攻击场景

攻击者可以利用此漏洞绕过身份验证过程,冒充合法用户进行操作。这可能导致未经授权的访问敏感数据、修改系统配置,甚至完全控制受影响的系统。攻击者可以利用此漏洞窃取用户数据,例如密码、个人信息和财务信息。由于 webauthn-server-core 广泛应用于身份验证系统中,此漏洞的潜在影响范围非常广泛。

利用背景

目前未公开已知利用此漏洞的公开 POC。由于漏洞影响 Yubico webauthn-server-core,且 webauthn-server-core 广泛应用于身份验证系统中,因此存在被利用的风险。建议密切关注安全社区的动态,并及时采取措施。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露
报告1 份威胁报告

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.5HIGHAttack VectorNetwork攻击者如何到达目标Attack ComplexityHigh利用漏洞所需的条件Privileges RequiredLow攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityHigh敏感数据泄露风险IntegrityHigh数据未授权篡改风险AvailabilityHigh服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
高 — 需要竞态条件、非默认配置或特定情况。难以可靠利用。
Privileges Required
低 — 任何有效用户账户均可。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
高 — 完全丧失机密性,攻击者可读取所有数据。
Integrity
高 — 攻击者可写入、修改或删除任何数据。
Availability
高 — 完全崩溃或资源耗尽,完全拒绝服务。

受影响的软件

组件yubico/java-webauthn-server
供应商Yubico
最低版本2.8.0
最高版本2.8.2
修复版本2.8.2

弱点分类 (CWE)

CWE-253

时间线

  1. 已保留
  2. 发布日期

缓解措施和替代方案

最有效的缓解措施是立即升级至受影响版本之后的修复版本 2.8.2。如果无法立即升级,可以考虑实施额外的身份验证措施,例如多因素身份验证。此外,定期审查 webauthn-server-core 的配置,并确保其安全设置正确,可以降低风险。在升级后,请确认升级是否成功,并检查身份验证配置是否正常。

修复方法翻译中…

Actualice a la versión 2.8.2 o superior para corregir la vulnerabilidad de impersonación. Esta actualización corrige una verificación incorrecta del valor de retorno de una función en el flujo de segundo factor, mitigando el riesgo de ataques de suplantación de identidad.

常见问题

什么是 CVE-2026-46419 — 身份欺骗 in Yubico webauthn-server-core?

CVE-2026-46419 是 Yubico webauthn-server-core 中一个身份欺骗漏洞,允许攻击者冒充合法用户进行操作。

我是否受到 CVE-2026-46419 in Yubico webauthn-server-core 的影响?

如果您正在使用 Yubico webauthn-server-core 版本 2.8.0 至 2.8.2,则可能受到此漏洞的影响。

如何修复 CVE-2026-46419 in Yubico webauthn-server-core?

升级至 Yubico webauthn-server-core 2.8.2 或更高版本以修复此漏洞。

CVE-2026-46419 是否正在被积极利用?

目前未公开已知利用此漏洞的公开 POC,但存在被利用的风险。

在哪里可以找到 Yubico 官方关于 CVE-2026-46419 的公告?

请访问 Yubico 官方安全公告页面以获取更多信息:[https://www.yubico.com/security/](https://www.yubico.com/security/)

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
Java / Maven

检测此 CVE 是否影响你的项目

上传你的 pom.xml 文件,立即知道是否受影响。

上传 pom.xml支持的格式: pom.xml · build.gradle
live免费扫描

立即扫描您的Java / Maven项目 — 无需账户

Upload your pom.xml and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...