Cabecera-v2-web.jpg

Nuevo error de criticidad alta reportada en OAuth de Google para Java


19/05/2022

Google ha reportado una falla de criticidad alta en su biblioteca de cliente OAuth para Java, que permitiría a un atacante malicioso proporcionar un token comprometido con carga útil personalizada, pasando por alto la validación en el lado del cliente.


La vulnerabilidad identificada como CVE-2021-22573, con severidad alta y puntuación asignada de 8.7. Esta falla se debe a la falta de verificación correcta en el verificador IDToken respecto al token que debe estar firmado. La verificación de la firma garantiza que la carga útil del token provenga de un proveedor válido y no de otra persona. Un atacante podría proporcionar un token comprometido con carga útil personalizada, pasando por alto la validación.

El producto afectado del cliente OAuth es:

  • Biblioteca google-oauth-java-client versiones anteriores a 1.33.3

Para acceder a la actualización ingresar al siguiente enlace proporcionado por OAuth:

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11