Replay of private_key_jwt possible in ORY Fosite

ORY Fosite no verifica si un ID de token JWT (jti) ya ha sido usado durante la autenticación con clave privada, permitiendo que atacantes reutilicen el mismo token varias veces en lugar de una sola. Esto rompe un requisito de seguridad clave que previene la reutilización de tokens de autenticación.

La vulnerabilidad existe en el flujo de autenticación de cliente private_key_jwt, donde la unicidad del claim jti (JWT ID) no es validada. Un atacante puede reproducir una aserción JWT previamente usada múltiples veces, eludiendo el requisito obligatorio de uso único definido por la especificación OpenID Connect. Las versiones anteriores a 0.31.0 fallan en mantener un registro de jti o verificarlo durante la validación.