گوگل یک نقص با شدت بالا را در کتابخانه OAuth Client برای جاوا برطرف کرد که ممکن بود توسط یک مهاجم با یک توکن آسیبپذیر برای استقرار payloadهای دلخواه مورد سوءاستفاده قرار گیرد.
این آسیبپذیری که با عنوان CVE-2021-22573 ردیابی میشود، با امتیاز 8.7 از 10 و به یک بایپس احراز هویت در کتابخانه مربوط میشود و از تأیید نامناسب cryptographic signature ناشی میشود.
این کتابخانه open-source جاوا روی Google HTTP Client Library ساخته شده و دستیابی به توکنهای دسترسی به هر سرویسی را در وب که از استاندارد مجوز OAuth پشتیبانی میکند، ممکن میسازد.
گوگل در فایل README پروژه در GitHub خاطرنشان میکند که این کتابخانه در حالت تعمیر و نگهداری پشتیبانی میشود و تنها باگهای ضروری را برطرف میکند که نشاندهنده شدت آسیبپذیری است.
به کاربران کتابخانه google-oauth-java-client توصیه میشود برای کاهش خطرات احتمالی این آسیبپذیری، نسخه کتابخانه خود را به نسخه 1.33.3 که در 13 آوریل منتشر شد، بروز کنند.
این آسیبپذیری که با عنوان CVE-2021-22573 ردیابی میشود، با امتیاز 8.7 از 10 و به یک بایپس احراز هویت در کتابخانه مربوط میشود و از تأیید نامناسب cryptographic signature ناشی میشود.
این کتابخانه open-source جاوا روی Google HTTP Client Library ساخته شده و دستیابی به توکنهای دسترسی به هر سرویسی را در وب که از استاندارد مجوز OAuth پشتیبانی میکند، ممکن میسازد.
گوگل در فایل README پروژه در GitHub خاطرنشان میکند که این کتابخانه در حالت تعمیر و نگهداری پشتیبانی میشود و تنها باگهای ضروری را برطرف میکند که نشاندهنده شدت آسیبپذیری است.
به کاربران کتابخانه google-oauth-java-client توصیه میشود برای کاهش خطرات احتمالی این آسیبپذیری، نسخه کتابخانه خود را به نسخه 1.33.3 که در 13 آوریل منتشر شد، بروز کنند.