CVE-2025-27371

Cuando se utilizan JWT (tokens web especiales) para autenticar clientes en OAuth 2.0, hay reglas poco claras sobre qué valores de audiencia deben aceptar los servidores. Esta ambigüedad podría permitir que atacantes creen tokens falsos que burlen las protecciones de seguridad.

La vulnerabilidad en CWE-305 (Omisión de Paso Criptográfico) surge de validación ambigua del claim de audiencia en flujos de autenticación OAuth 2.0 basados en JWT en múltiples RFCs (7523, 7521, 7522, 9101, 9126). Un atacante puede explotar inconsistencias en la lógica de validación de audiencia para presentar JWTs con valores de audiencia manipulados que diferentes implementaciones pueden aceptar de forma divergente, conduciendo a emisión no autorizada de tokens.