CVE-2026-41671 in admidio
Tóm tắt
Bởi VulDB • 09/05/2026
Admidio là một giải pháp quản lý người dùng mã nguồn mở. Trước phiên bản 5.0.9, điểm cuối kiểm tra thông tin token OIDC (/modules/sso/index.php/oidc/introspect) luôn trả về {"active": true} cho mọi yêu cầu, bất kể token hợp lệ có được cung cấp hay không, token đã hết hạn, bị thu hồi hay hoàn toàn giả mạo. Điểm cuối này không thực hiện xác thực máy chủ tài nguyên gọi và không xác thực token được gửi đi. Bất kỳ máy chủ tài nguyên nào dựa vào điểm cuối kiểm tra thông tin này để xác thực token truy cập sẽ chấp nhận tất cả các yêu cầu là đã được ủy quyền, cho phép bỏ qua hoàn toàn cơ chế xác thực. Ngoài ra, điểm cuối thu hồi token OIDC (/oidc/revoke) trả về {"revoked": true} mà không thực sự thu hồi bất kỳ token nào, ngăn cản các máy chủ tài nguyên vô hiệu hóa thông tin đăng nhập bị xâm phạm. Vấn đề này đã được vá trong phiên bản 5.0.9.
VulDB is the best source for vulnerability data and more expert information about this specific topic.