CVE-2026-28490— Authlib 加密问题漏洞
Possible ATT&CK Techniques 1AI
T1190 · Exploit Public-Facing Application新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-28490の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Authlib Vulnerable to JWE RSA1_5 Bleichenbacher Padding Oracle
ソース: NVD (National Vulnerability Database)
脆弱性説明
Authlib is a Python library which builds OAuth and OpenID Connect servers. Prior to version 1.6.9, a cryptographic padding oracle vulnerability was identified in the Authlib Python library concerning the implementation of the JSON Web Encryption (JWE) RSA1_5 key management algorithm. Authlib registers RSA1_5 in its default algorithm registry without requiring explicit opt-in, and actively destroys the constant-time Bleichenbacher mitigation that the underlying cryptography library implements correctly. This issue has been patched in version 1.6.9.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
通过差异性导致的信息暴露
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Authlib 加密问题漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Authlib是Authlib开源的一个构建 OAuth 和 OpenID Connect 服务器的终极 Python 库。 Authlib 1.6.9之前版本存在加密问题漏洞,该漏洞源于JSON Web Encryption RSA1_5密钥管理算法实现存在加密填充预言机漏洞,可能破坏底层密码库的恒定时间缓解措施。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2026-28490の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-28490のインテリジェンス情報
请登录查看更多情报信息。
CVE-2026-28490 补丁与修复 (1)
CVE-2026-28490 厂商安全公告 (1)
CVE-2026-28490 厂商页面 (1)
- Release v1.6.9 · authlib/authlib · GitHubx_refsource_MISC
Same Patch Batch · authlib · 2026-03-16 · 3 CVEs total
| CVE-2026-27962 | 9.1 CRITICAL | Authlib JWS JWK Header Injection: Signature Verification Bypass |
| CVE-2026-28498 | Authlib: Fail-Open Cryptographic Verification in OIDC Hash Binding |
IV. 関連脆弱性
同じ製品: authlib
- CVE-2026-44681
Authlib: Open Redirect in Authlib OIDC Implicit/Hybrid Autho - CVE-2026-41425
Authlib: Cross-site request forging when using cache - CVE-2026-28498
Authlib: Fail-Open Cryptographic Verification in OIDC Hash B - CVE-2026-27962
Authlib JWS JWK Header Injection: Signature Verification Byp - CVE-2026-28802
Authlib: Setting `alg: none` and a blank signature appears t
同じベンダー: authlib
- CVE-2026-48990
joserfc: b64=false RFC7797 JWS payloads bypass JWSRegistry p - CVE-2026-44681
Authlib: Open Redirect in Authlib OIDC Implicit/Hybrid Autho - CVE-2026-41425
Authlib: Cross-site request forging when using cache - CVE-2026-28498
Authlib: Fail-Open Cryptographic Verification in OIDC Hash B - CVE-2026-27962
Authlib JWS JWK Header Injection: Signature Verification Byp
同じ弱点: CWE-203
- CVE-2023-54357
Joomla com_booking 2.4.9 Information Disclosure via Account - CVE-2026-45294
FreeScout: User Account Enumeration via Password Reset Respo - CVE-2026-45410
Time-based user enumeration in TREK authentication endpoint - CVE-2026-44263
Weblate: Private Translation Enumeration via Screenshot API - CVE-2023-5872
Wago: Vulnerability in Smart Designer Web-Application
V. CVE-2026-28490へのコメント
まだコメントはありません