La vulnerabilità CVE-2026-29000 in pac4j-jwt consente di aggirare l’autenticazione creando JWT cifrati con payload non firmato. L’attaccante può impersonare qualsiasi utente, inclusi gli amministratori. Rischi elevati per le applicazioni che ne fanno uso.
FONTE: Ilsoftware.it
