CVE-2025-30064

An insufficiently secured internal function allows session generation for arbitrary users. The decodeParam function checks the JWT but does…

CERT-PL·CWE-347·Published 2025-08-27

CVSS

—

EPSS

0.00

KEV

Exploits

cve.orgen

323 chars

An insufficiently secured internal function allows session generation for arbitrary users. The decodeParam function checks the JWT but does not verify which signing algorithm was used. As a result, an attacker can use the "ex:action" parameter in the VerifyUserByThrustedService function to generate a session for any user.

NVDen

323 chars

NVDes

332 chars

Una función interna con poca seguridad permite la generación de sesiones para usuarios arbitrarios. La función decodeParam verifica el JWT, pero no el algoritmo de firma utilizado. Por lo tanto, un atacante puede usar el parámetro "ex:action" de la función VerifyUserByThrustedService para generar una sesión para cualquier usuario.

CVSS metrics across sources

Version	Type	Source	Base	Exp	Impact	Vector
4.0	Primary	cve.org	8.8	—	—	CVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
4.0	Secondary	NVD	8.8	—	—