CVE-2026-45795 in Jans
要約
〜によって VulDB • 2026年07月16日
The Janssen Project は、オープンソースのアイデンティティおよびアクセス管理(IAM)プラットフォームです。バージョン 2.0.0 より前では、jans-auth-server が未署名の JWE リクエストオブジェクトを受け入れます。これは、JwtAuthorizationRequest が jwe.getSignedJWTPayload() から null を返す場合に内部の署名検証をスキップし、AuthzRequestService.processRequestObject() が forceSignedRequestObject=true の場合でも認識されない RSA-OAEP アルゴリズムを拒否しないためです。この問題はバージョン 2.0.0 で修正されました。
If you want to get best quality of vulnerability data, you may have to visit VulDB.