一、漏洞详情
Google OAuth Client Library for Java是Google开发的一个强大且易于使用的开源Java库,用于OAuth1.0a和OAuth2.0授权标准。该Java库旨在与网络上的任何OAuth服务一起使用,它是建立在Google OAuth Client Library for Java之上的。
Google修复了Google-OAuth-Java-Client中的一个身份验证绕过漏洞(CVE-2021-22573),由于IDToken验证程序无法验证令牌是否正确签名,Google-OAuth-Java-Client中存在身份验证绕过漏洞,可以通过提供具有自定义Payload的受损令牌通过客户端的验证。此外,该Java库基于Google OAuth Client Library for Java构建,可以获取对Web上支持OAuth授权标准的任何服务的访问令牌。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Google-OAuth-Java-Client版本 < v1.33.3
三、修复建议
受影响的用户可以升级更新到Google-OAuth-Java-Client版本v1.33.3。
下载链接:https://github.com/googleapis/google-oauth-java-client/releases