Eine fehlende Überprüfung in webauthn-framework erlaubt einem Angreifer mit Fernzugriff auf ein System, einen angeschlossenen FIDO-Authentikator für den Login bei einem verwundbaren Dienst zu nutzen ohne physisch den Knopf des Authentikators zu drücken. Der Schwachstelle wurde die Nummer CVE-2021-38299 zugewiesen. Version 3.3.4 von webauthn-framework behebt die Schwachstelle. Anwendungen sollten die aktualisierte Version der Bibliothek nutzen.
Der vollständige Bericht steht hier zum Download zur Verfügung (Englisch).
Technische Hintergründe dazu habe wir auch in diesem Artikel (Englisch) beschrieben.
Permalink zu diesem Beitrag: https://url.fzi.de/de-vuln-webauthn