pac4j-jwt 繞過保安限制漏洞

發佈日期: 2026年03月09日

風險: 中度風險

類型: 伺服器 - 網站伺服器

於 pac4j-jwt 發現一個漏洞。遠端攻擊者可利用此漏洞，於目標系統觸發繞過保安限制。

 

注意：

CVE-2026-29000 的概念驗證碼已被公開。攻擊者若掌握伺服器的 RSA 公鑰，即可建立包含任意主題和角色聲明的 JWE 封裝的 PlainJWT，從而繞過簽章驗證，以包含管理員在內的任何使用者身分進行驗證。因此，風險等級被評為中等風險。

---

影響

• 繞過保安限制

---

受影響之系統或技術

• 如果您使用的是 4.x 系列版本：請升級至 4.5.9（或更高版本）

• 如果您使用的是 5.x 系列版本：請升級至 5.7.9（或更高版本）

• 如果您使用的是 6.x 系列版本：請升級至 6.3.3（或更高版本）

---

解決方案

在安裝軟體之前，請先瀏覽供應商之網站，以獲得更多詳細資料。

 

安裝供應商提供的修補程式：

• https://www.pac4j.org/blog/security-advisory-pac4j-jwt-jwtauthenticator.html

---

漏洞識別碼

• CVE-2026-29000

---

資料來源

• pac4j-jwt

---

相關連結

• https://www.pac4j.org/blog/security-advisory-pac4j-jwt-jwtauthenticator.html