谷歌Java OAuth客户端库存在高危漏洞

谷歌Java OAuth客户端库存在高危漏洞，攻击者可使用被黑的token部署恶意payload。

漏洞概述

谷歌OAuth Client Library for Java（Java OAuth客户端库）的设计目的是用来与web上的任意OAuth协作，而不仅仅是谷歌API。该库基于谷歌Java HTTP客户端库构建，支持Java 7标准版和企业版、安卓4.0、谷歌APP引擎。

研究人员在Java OAuth客户端库中发现一个高位的认证绕过漏洞，CVE编号为CVE-2021-22573，CVSSv3评分8.7分，攻击者可以利用该被黑的token来部署恶意payload。

漏洞产生的根源是IDToken验证器没有验证token是否正确签名。签名验证可以确保token的payload来源于有效的可信的提供者。因此，攻击者可绕过客户端的验证，利用该漏洞可以构造来自不可信的提供者的任意恶意payload。

漏洞时间轴

该漏洞是由弗吉尼亚大学计算机科学专业4年级博士生Tamjid Al Rahat于3月12日发现的，微软已于4月发布了v 1.33.3版本来修复该漏洞。Tamjid Al Rahat因此获得了5000美元的漏洞奖励。