-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheid verholpen in pac4j-jwt
Advisory ID     : NCSC-2026-0095
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2026-29000
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Improper Verification of Cryptographic Signature
Uitgiftedatum   : 20260312
Toepassing      : pac4j pac4j-jwt
Versie(s)       :
Platform(s)     :

Beschrijving
   Pac4j heeft een kwetsbaarheid verholpen in de pac4j-jwt bibliotheek
   (specifiek voor versies voor 4.5.9, 5.7.9 en 6.3.3).

   De kwetsbaarheid bevindt zich in de JwtAuthenticator module van de
   pac4j-jwt bibliotheek. Deze kwetsbaarheid stelt een aanvaller die
   toegang heeft tot de RSA publieke sleutel van de server in staat om
   JWT-authenticatietokens te vervalsen. De fout omzeilt het proces van
   handtekeningverificatie, dat bedoeld is om de authenticiteit van
   tokens te valideren. Hierdoor kan een aanvaller zich voordoen als
   elke gebruiker, inclusief gebruikers met administratieve privileges.
   Alle applicaties die afhankelijk zijn van de kwetsbare pac4j-jwt
   versies voor JWT-authenticatie zijn getroffen.

Mogelijke oplossingen
   pac4j heeft updates uitgebracht om de kwetsbaarheid te verhelpen. Zie
   bijgevoegde referenties voor meer informatie.

   Referenties:
      Reference
      https://www.pac4j.org/blog/security-advisory-pac4j-jwt-
      jwtauthenticator.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
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=2PWg
-----END PGP SIGNATURE-----