发布日期：2023-10-25
更新日期：2023-12-21

受影响系统：

light-oauth2 light-oauth2 < 2.1.27

描述：

---

CVE(CAN) ID: CVE-2023-31580

light-oauth2是networknt开源的一款基于light-4j的快速、轻量级云原生OAuth 2.0授权微服务。
light-oauth2 2.1.27之前版本存在证书验证错误漏洞，攻击者可利用该漏洞获取公共密钥并通过特制的JWT令牌进行身份认证。

<**>

建议：

---

厂商补丁：

light-oauth2
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/KANIXB/JWTIssues/blob/main/Certification%20Verification%20issue%20in%20light-oauth2.md

浏览次数：391
严重程度：0（网友投票）