we at codeant found a bug in pac4j-jwt (auth bypass)
嗯,用户让我总结一篇文章,控制在100字以内,而且不需要用“文章内容总结”之类的开头。我得先仔细看看这篇文章的内容。 文章讲的是他们开始审计流行的开源安全库,第一周就发现了pac4j-jwt中的一个关键认证绕过漏洞。然后他们质疑企业安全工具用了好几年都没发现这个漏洞,而他们只用了一周时间。接着他们分析原因,认为要么自己是天才(其实不是),要么这些安全工具根本不管用。最后他们讽刺企业花大价钱买AI工具却没效果,这个漏洞六年都没被发现。 我需要把这些要点浓缩到100字以内。首先说明他们审计开源库发现了漏洞,然后指出传统安全工具失效的问题,最后提到企业花高价买工具却没效果。 可能的结构是:审计开源库发现漏洞,传统工具失效,企业高价买工具无效。 再检查一下字数,确保不超过限制。比如:“审计开源安全库发现关键认证绕过漏洞,传统安全工具失效问题凸显。企业花高价购买AI工具却未能及时发现该漏洞六年未被发现。” 这样应该符合要求了。 </think> 审计开源安全库发现关键认证绕过漏洞,传统安全工具失效问题凸显。企业花高价购买AI工具却未能及时发现该漏洞,六年未被发现。 2026-3-5 07:31:27 Author: www.reddit.com(查看原文) 阅读量:11 收藏
嗯,用户让我总结一篇文章,控制在100字以内,而且不需要用“文章内容总结”之类的开头。我得先仔细看看这篇文章的内容。 文章讲的是他们开始审计流行的开源安全库,第一周就发现了pac4j-jwt中的一个关键认证绕过漏洞。然后他们质疑企业安全工具用了好几年都没发现这个漏洞,而他们只用了一周时间。接着他们分析原因,认为要么自己是天才(其实不是),要么这些安全工具根本不管用。最后他们讽刺企业花大价钱买AI工具却没效果,这个漏洞六年都没被发现。 我需要把这些要点浓缩到100字以内。首先说明他们审计开源库发现了漏洞,然后指出传统安全工具失效的问题,最后提到企业花高价买工具却没效果。 可能的结构是:审计开源库发现漏洞,传统工具失效,企业高价买工具无效。 再检查一下字数,确保不超过限制。比如:“审计开源安全库发现关键认证绕过漏洞,传统安全工具失效问题凸显。企业花高价购买AI工具却未能及时发现该漏洞六年未被发现。” 这样应该符合要求了。 </think> 审计开源安全库发现关键认证绕过漏洞,传统安全工具失效问题凸显。企业花高价购买AI工具却未能及时发现该漏洞,六年未被发现。 2026-3-5 07:31:27 Author: www.reddit.com(查看原文) 阅读量:11 收藏
We started auditing popular OSS security libraries as an experiment. first week, we found a critical auth bypass in pac4j-jwt. How long has your enterprise security stack been scanning this package? years? finding nothing? we found it in 7 days.
either:
1/ we're security geniuses (lol no)
2/ all security tools are fundamentally broken
spoiler: it's B.
I mean, what is happening? why the heck engg teams are paying $200k+ to these AI tools??? This was not reported in 6 yrs btw.
文章来源: https://www.reddit.com/r/netsec/comments/1rlbb2k/we_at_codeant_found_a_bug_in_pac4jjwt_auth_bypass/
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh