Wissenschaftliche Mitarbeiter des Kompetenzzentrums IT-Sicherheit haben eine fehlende Prüfung in einer Bibliothek für FIDO2-Authentifizierung gefunden.
Eine fehlende Überprüfung in webauthn-framework erlaubt einem Angreifer mit Fernzugriff auf ein System, einen angeschlossenen FIDO-Authentikator für den Login bei einem verwundbaren Dienst zu nutzen ohne physisch den Knopf des Authentikators zu drücken. Der Schwachstelle wurde die Nummer CVE-2021-38299 zugewiesen. Version 3.3.4 von webauthn-framework behebt die Schwachstelle. Anwendungen sollten die aktualisierte Version der Bibliothek nutzen.
Der vollständige Bericht steht zum Download zur Verfügung (Englisch).