关于google-7411威尼斯

一、漏洞详情

google oauth client library for java是google开发的一个强大且易于使用的开源java库，用于oauth1.0a和oauth2.0授权标准。该java库旨在与网络上的任何oauth服务一起使用，它是建立在google oauth client library for java之上的。

google修复了google-oauth-java-client中的一个身份验证绕过漏洞（cve-2021-22573），由于idtoken验证程序无法验证令牌是否正确签名，google-oauth-java-client中存在身份验证绕过漏洞，可以通过提供具有自定义payload的受损令牌通过客户端的验证。此外，该java库基于google oauth client library for java构建，可以获取对web上支持oauth授权标准的任何服务的访问令牌。

建议受影响用户做好预防工作，以免遭受黑客攻击。

二、影响范围

google-oauth-java-client版本 < v1.33.3

三、修复建议

受影响的用户可以升级更新到google-oauth-java-client版本v1.33.3。

下载链接：https://github.com/googleapis/google-oauth-java-client/releases