Дыра в pac4j-jwt. Теперь буквально каждый — «admin» В библиотеке pac4j-jwt обнаружили критическую уязвимость CVE-2026-29000 (10,0). Злоумышленник может выдать себя за любого пользователя, включая администратора. Пароли и закрытые ключи не нужны. Фокус в том, как библиотека обрабатывает JWT. Если сделать токен без подписи (PlainJWT) и зашифровать публичным RSA-ключом сервера, код «теряет» признак подписи и пропускает её проверку. Сервер читает роль из токена и верит ей. История не только про один пакет. Шифрование часто добавляют как «усиление», но шифрование не доказывает источник. Если подпись проверяют не в самом начале, любая ошибка превращается во вход с любыми правами. Обновление зависимостей здесь реально закрывает входную дверь. #jwt #java #auth #аутентификация