Natelaff

**Nome do software vulnerável e versões afetadas** Versões do Duende.AccessTokenManagement.OpenIdConnect anteriores à 3.0.1 **Descrição** Duende.AccessTokenManagement.OpenIdConnect é um conjunto de bibliotecas .NET que gerencia tokens de acesso OAuth e OpenId Connect. Clientes HTTP criados por `AddUserAccessTokenHttpClient` podem usar o token de acesso de um usuário diferente após a atualização do token. Isso ocorre porque um token atualizado será capturado em instâncias agrupadas de `HttpClient`, que podem ser usadas por um usuário diferente. Em vez de usar `AddUserAccessTokenHttpClient` para criar um `HttpClient` que adiciona automaticamente um token gerenciado às solicitações de saída, você pode usar o método de extensão `HttpConext.GetUserAccessTokenAsync` ou o método `IUserTokenManagementService.GetAccessTokenAsync`. **Recomendações** Para versões anteriores à 3.0.1, atualize para o Duende. AccessTokenManagement.OpenIdConnect 3.0.1 para corrigir o problema. Como solução alternativa temporária, considere usar o método de extensão `HttpConext.GetUserAccessTokenAsync` ou o método `IUserTokenManagementService.GetAccessTokenAsync` em vez de `AddUserAccessTokenHttpClient` para criar um `HttpClient` que adicione automaticamente um token gerenciado às solicitações de saída.