⚡️⚡️⚡️Новая десятка – уязвимость CVE-2026-29000! В начале марта исследователи обнаружили критическую уязвимость в библиотеке pac4j-jwt, которая используется в Java-приложениях для аутентификации пользователей через JWT-токены (JSON Web Token).  CVE-2026-29000 позволяет злоумышленнику войти в систему, выдав себя за любого пользователя, включая администраторов. Суть проблемы? Если всё работает корректно, то сервер выдаёт пользователю JWT-токен, защищенный криптографической подписью. Клиент предъявляет этот токен при каждом запросе. Если подпись верна и токен зашифрован верным публичным ключом, сервер аутентифицирует пользователя. CVE-2026-29000 использует отсутствие проверки подписи для обхода аутентификации. Злоумышленник создает PlainJWT (токен без цифровой подписи) и шифрует его публичным RSA-ключом сервера. Библиотека расшифровывает токен, но, поскольку подпись отсутствует (PlainJWT), то она приобретает значение «null». И вместо ошибки, сервер принимает подпись «null», как доверенную. В результате злоумышленник получает доступ с правами, которые сам же и прописал в токене. Почему это критично? Уязвимость получила максимальную оценку по шкале - CVSS 10,0. Причины: ➡️для эксплуатации CVE достаточно публичного ключа и базовых знаний JWT; ➡️не требует предварительного доступа к системе и полностью автоматизирована; ➡️возможность полной компрометации системы; ➡️возможность эскалации привилегий на всю инфраструктуру. Внимание ИБ-экспертов уже давно сместилось с изолированных ошибок в коде на системные недостатки, охватывающие весь жизненный цикл приложения. Так в последней версии списка OWASP Top Ten именно логические ошибки, ошибки контроля доступа и обработки исключительных ситуаций и т.п. определены в качестве ключевых веб-угроз.  Итог Шифрование и подпись обеспечивают разные свойства защиты. Шифрование гарнатирует конфиденциальность, а подписи - целостность данных. Когда упускается один из этих элементов, у злоумышленников появляется шанс для успешной атаки. CVE-2026-29000 - это не ошибка в криптографии, а логическая уязвимость архитектуры проверки JWT. Web Application Firewall (WAF) может стать важным дополнительным слоем защиты, но не заменяет исправление уязвимости на уровне приложения. Поэтому разработчикам, использующим pac4j-jwt, рекомендуем срочно обновить зависимости: · для ветки 4.x — версия 4.5.9 и новее; · для ветки 5.x — 5.7.9 и новее; · для ветки 6.x — 6.3.3 и выше.