CVE-2026-30223 in OliveTin
Riassunto
di VulDB • 22/06/2026
OliveTin consente l'accesso ai comandi shell predefiniti tramite un'interfaccia web. Prima della versione 3000.11.1, quando l'autenticazione JWT è configurata utilizzando "authJwtPubKeyPath" (chiave pubblica RSA locale) o "authJwtHmacSecret" (segreto HMAC), il valore del pubblico destinatario configurato (authJwtAud) non viene applicato durante la fase di parsing del token. Di conseguenza, i token JWT firmati correttamente ma con un claim aud errato vengono accettati per l'autenticazione. Ciò consente l'autenticazione utilizzando token destinati a un diverso pubblico destinatario/servizio. Questo problema è stato risolto nella versione 3000.11.1.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.