Ciekawa podatność w implementacji JWT [InfluxDB]. Podajesz pusty sekret i… dostajesz się na dowolnego usera

Ciekawostka dla łowców interesujących bugów :-) Mieliśmy już różne warianty definicji algorytmy podpisów w JWT (none, NonE). Widzieliśmy również całkowite usunięcie sekcji podpisu. Teraz jeszcze coś innego:

We can authorize by any user. For that we can use jwt token with empty shared_secret.

Czyli w tokenie JWT podajemy puste hasło (nie mylić z pustym podpisem) i voila – token jest zwalidowany jako poprawny.

Błąd został załatany w InfluxDB już w 2019 roku, ale np. w Debianie paczkę z aktualizacją mamy dopiero w 2021 roku… z adnotacją:

It was discovered that incorrect validation of JWT tokens in InfluxDB, a time series, metrics, and analytics database, could result in authentication bypass.

–ms