Šta se desilo?

Otkrivena je kritična sigurnosna ranjivost (CVE-2026-29000) u Java pac4j-jwt frameworku sa najvećom mogućom severnosti (CVSS 10.0). Greška u obradi kriptovanih JSON Web Tokena (JWT) omogućava napadačima da kreiraju falsifikovane tokene i pristupe sistemima kao bilo koji korisnik, uključujući administratore, bez znanja lozinke ili važećeg digitalnog potpisa.

Koga pogađa?

Ugroženi su sistemi i aplikacije koje koriste pac4j-jwt biblioteku za autentifikaciju - posebno verzije 4.x (pre 4.5.9), 5.x (pre 5.7.9) i 6.x (pre 6.3.3). Napad je moguć ako napadač ima pristup javnom RSA ključu servera, što je često javno dostupna informacija. Pogođeni su prvenstveno vladine institucije, finansijski sektor, zdravstvo i sve kompanije koje koriste ovaj framework u svojim Java aplikacijama.

Kako se zaštititi?

  • Hitno ažurirajte pac4j-jwt biblioteku na sigurnu verziju (4.5.9+, 5.7.9+ ili 6.3.3+)
  • Pregledajte logove autentifikacije u traženju sumnjivих prijava i neobičnih JWT tokena
  • Proverite da li su neovlašćeni korisnici ili administratori pristupili vašim sistemima u periodu dok je ranjivost bila aktivna
  • Razmotrite dodatne mere zaštite kao što su MFA (Multi-Factor Authentication) i monitoring pristupa privilegovanih naloga
  • Sredite pristup javnom RSA ključu - ograničite njegovu dostupnost gde god je moguće

Tehnički detalji

CVE-2026-29000 se koristi kroz JWE-wrapped PlainJWT napad. Napadač sa poznavanjem javnog ključa može izraditi posebno oblikovani kriptovani token sa proizvoljnim podacima o korisniku i administratorskim dozvoljenima, zaobilazeći sve mehanizme verifikacije. Ranjive verzije: pac4j-jwt 4.0-4.5.8, 5.0-5.7.8, 6.0-6.3.2.

Preporuka Sajber Radara

Ova ranjivost zahteva hitnu akciju jer omogućava potpun preuzimanje kontrole nad sistemom. Prioritet je neposredno ažuriranje sve tri linije verzija, poslednjim popravkama. Dodatno preispitajte pristupe i tokene iz prethodnog perioda kako biste utvrdili da li je do zaobilaženja autentifikacije već došlo.