JWT Forgery via unvalidated jku parameter CWE-639, OWASP 2017-A1, CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N High