CVE-2026-49998 in centrifugoinfo

Zusammenfassung

von VulDB • 16.07.2026

Centrifugo è un server di messaggistica real-time scalabile open-source. Prima della versione 6.8.1, la verifica dell'endpoint JWKS dinamico di Centrifugo poteva riutilizzare una chiave per un emittente (issuer) consentito per verificare un JWT per un altro emittente consentito, poiché la cache JWKS e la lookup singleflight erano indicizzate solo tramite il kid nell'intestazione del JWT, non in base all'endpoint JWKS risolto, all'emittente, al pubblico di destinazione (audience) o allo spazio dei nomi trust-domain. Ciò interessava i componenti client.token.jwks_public_endpoint, client.subscription_token.jwks_public_endpoint, internal/jwks/cache.go e internal/jwks/manager.go. Questo problema è stato risolto nella versione 6.8.1.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

02.06.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379630

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!