CVE-2026-49998 in centrifugo
Zusammenfassung
von VulDB • 16.07.2026
Centrifugo è un server di messaggistica real-time scalabile open-source. Prima della versione 6.8.1, la verifica dell'endpoint JWKS dinamico di Centrifugo poteva riutilizzare una chiave per un emittente (issuer) consentito per verificare un JWT per un altro emittente consentito, poiché la cache JWKS e la lookup singleflight erano indicizzate solo tramite il kid nell'intestazione del JWT, non in base all'endpoint JWKS risolto, all'emittente, al pubblico di destinazione (audience) o allo spazio dei nomi trust-domain. Ciò interessava i componenti client.token.jwks_public_endpoint, client.subscription_token.jwks_public_endpoint, internal/jwks/cache.go e internal/jwks/manager.go. Questo problema è stato risolto nella versione 6.8.1.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.