Vulnerability in Spring Spring Security. When an application configures JWT decoding with NimbusJwtDecoder or NimbusReactiveJwtDecoder, it must configure an OAuth2TokenValidator<Jwt> separately, for example by calling setJwtValidator.This issue affects Spring Security: from 6.3.0 through 6.3.14, from 6.4.0 through 6.4.14, from 6.5.0 through 6.5.9, from 7.0.0 through 7.0.4.
Spring Security JWT validation vulnerability allows improper token validation when NimbusJwtDecoder is used without proper OAuth2TokenValidator configuration. Affected versions 6.3.0-6.3.14, 6.4.0-6.4.14, 6.5.0-6.5.9, and 7.0.0-7.0.4 may accept invalid JWT tokens if validators are not explicitly configured.
تؤثر هذه الثغرة على تطبيقات Spring Security التي تستخدم NimbusJwtDecoder أو NimbusReactiveJwtDecoder دون تكوين صريح لـ OAuth2TokenValidator. قد يؤدي عدم تعيين مدقق JWT إلى قبول رموز JWT غير صالحة أو منتهية الصلاحية، مما يسمح بالوصول غير المصرح به.
Spring Security JWT validation vulnerability allows improper token validation when NimbusJwtDecoder is used without proper OAuth2TokenValidator configuration. Affected versions 6.3.0-6.3.14, 6.4.0-6.4.14, 6.5.0-6.5.9, and 7.0.0-7.0.4 may accept invalid JWT tokens if validators are not explicitly configured.
Update Spring Security to patched versions: 6.3.15 or later, 6.4.15 or later, 6.5.10 or later, or 7.0.5 or later. Ensure OAuth2TokenValidator is explicitly configured via setJwtValidator method for all JWT decoding implementations. Review and validate all JWT token validation configurations in production applications.
قم بتحديث Spring Security إلى الإصدارات المصححة: 6.3.15 أو أحدث، 6.4.15 أو أحدث، 6.5.10 أو أحدث، أو 7.0.5 أو أحدث. تأكد من تكوين OAuth2TokenValidator بشكل صريح عبر طريقة setJwtValidator لجميع تطبيقات فك تشفير JWT. راجع والتحقق من جميع تكوينات التحقق من رموز JWT في تطبيقات الإنتاج.