Google的OAuth Java客户端库中报告的高严重性错误

谷歌上个月解决了其OAuth Java客户端库中的一个严重漏洞，该漏洞可能会被恶意参与者利用一个泄露的令牌来部署任意有效负载。

跟踪为CVE-2021-22573，该漏洞的严重性为10分之8.7，与库中的身份验证旁路有关，该漏洞源于对加密签名的不正确验证。

3月12日，弗吉尼亚大学计算机科学专业四年级博士生Tamjid Al-Rahat发现并报告了该漏洞，并获得了5000美元的奖金，作为谷歌漏洞奖励计划的一部分。

“漏洞在于IDToken验证器无法验证令牌是否正确签名，”该漏洞的一条建议写道。

签名验证确保令牌的有效负载来自有效的提供程序，而不是其他人。攻击者可以提供具有自定义有效负载的受损令牌。令牌将通过客户端的验证

基于Google HTTP Client library for Java构建的开源Java库使人们能够获取对web上支持OAuth授权标准的任何服务的访问令牌。

Google在其GitHub上项目的自述文件中指出，该库在维护模式下受支持，并且只修复了必要的bug，这表明了该漏洞的严重性。

建议google oauth java客户端库的用户更新到4月13日发布的1.33.3版本，以减轻任何潜在风险。