CVE-2026-44699LibJWT - это библиотека веб-токенов C JSON. От 3.0.0 до 3.3.2 libjwt принимает RSA JWK, который не содержит параметра водоворота в качестве проверочной клавиши для токена HS256/HS384/HS512. В бэкэнде OpenSSL это приводит к тому, что проверка HMAC выполняется с помощью ключа нулевого длины, поэтому злоумышленник может подделывать действительный JWT, не зная никакого секретного или закрытого ключа RSA. Это обход алгоритм-путационная аутентификация. Это влияет на приложения, которые загружают клавиши RSA из JWKS, где опущена алговь, что является действительным синтаксисом JWK и распространено в реальных развертываниях, а затем выбирает алгоритм проверки из заголовка JWT, например, в звонке ребенка. Эта уязвимость исправлена в 3.3.3.