一、漏洞详情

Google OAuth Client Library for Java是Google开发的一个强大且易于使用的开源Java库，用于OAuth1.0a和OAuth2.0授权标准。该Java库旨在与网络上的任何OAuth服务一起使用，它是建立在Google OAuth Client Library for Java之上的。

Google修复了Google-OAuth-Java-Client中的一个身份验证绕过漏洞（CVE-2021-22573），由于IDToken验证程序无法验证令牌是否正确签名，Google-OAuth-Java-Client中存在身份验证绕过漏洞，可以通过提供具有自定义Payload的受损令牌通过客户端的验证。此外，该Java库基于Google OAuth Client Library for Java构建，可以获取对Web上支持OAuth授权标准的任何服务的访问令牌。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Google-OAuth-Java-Client版本 < v1.33.3

三、修复建议

受影响的用户可以升级更新到Google-OAuth-Java-Client版本v1.33.3。

下载链接：https://github.com/googleapis/google-oauth-java-client/releases