CVE-2026-41671 in admidio
요약
\~에 의해 VulDB • 2026. 05. 10.
Admidio는 오픈소스 사용자 관리 솔루션입니다. 버전 5.0.9 이전 버전에서는 OIDC 토큰 인스펙션 엔드포인트(/modules/sso/index.php/oidc/introspect)가 유효한 토큰이 제공되었는지, 토큰이 만료되었는지,取り消시되었는지, 아니면 완전히 위조된 것인지와 관계없이 모든 요청에 대해 {"active": true}를 항상 반환합니다. 해당 엔드포인트는 호출하는 리소스 서버에 대한 인증 수행이나 제출된 토큰의 유효성 검사를 전혀 수행하지 않습니다. 이 인스펙션 엔드포인트를 사용하여 액세스 토큰을 검증하는 모든 리소스 서버는 모든 요청을 승인된 것으로 받아들이게 되며, 이로 인해 완전한 인증 우회가 가능해집니다. 또한, OIDC 토큰取り消시 엔드포인트(/oidc/revoke)는 실제로 어떤 토큰도取り消시하지 않은 채 {"revoked": true}를 반환하여, 리소스 서버가 손상된 자격 증명을 무효화하는 것을 방지합니다. 이 문제는 버전 5.0.9에서 패치되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.