Jviding

**Name of the Vulnerable Software and Affected Versions** Okta OIDC Middleware versions prior to 5.0.0 **Description** An open redirect issue exists, allowing an attacker to redirect a user to an arbitrary URL. To exploit this, an attacker would need to send a victim a malformed URL containing a target server that they control. Once a user successfully completed the login process, the victim user would then be redirected to the attacker-controlled site. **Recommendations** For Okta OIDC Middleware versions prior to 5.0.0, upgrade to version 5.0.0 or later to remediate this issue.

**Nome do software vulnerável e versões afetadas** Versões do Express OpenID Connect anteriores à 2.7.2 **Descrição** A vulnerabilidade afeta usuários do middleware `requiresAuth`, seja diretamente ou por meio da opção padrão `authRequired`, tornando-os vulneráveis a um ataque de redirecionamento aberto (Open Redirect) quando o middleware é aplicado a uma rota genérica. Se todas as rotas de um domínio estiverem protegidas com o middleware `requiresAuth`, uma visita a uma URL como `http://example.com//google.com` será redirecionada para `google.com` após o login, pois a URL original reportada pela estrutura Express não é devidamente sanitizada. **Recomendações** Para versões anteriores à 2.7.2, atualize para a versão 2.7.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere evitar o uso do middleware `requiresAuth` em rotas catch-all até que a atualização seja aplicada.