Google ha reportado una falla de criticidad alta en su biblioteca de cliente OAuth para Java, que permitiría a un atacante malicioso proporcionar un token comprometido con carga útil personalizada, pasando por alto la validación en el lado del cliente.
La vulnerabilidad identificada como CVE-2021-22573, con severidad alta y puntuación asignada de 8.7. Esta falla se debe a la falta de verificación correcta en el verificador IDToken respecto al token que debe estar firmado. La verificación de la firma garantiza que la carga útil del token provenga de un proveedor válido y no de otra persona. Un atacante podría proporcionar un token comprometido con carga útil personalizada, pasando por alto la validación.
El producto afectado del cliente OAuth es:
- Biblioteca google-oauth-java-client versiones anteriores a 1.33.3
Para acceder a la actualización ingresar al siguiente enlace proporcionado por OAuth:
Referencias: