Tamjidrahat

**Nome do software vulnerável e versões afetadas** oauth2-server (também conhecido como node-oauth2-server) versões 3.1.1 e anteriores **Descrição** O problema decorre de um padrão de URI incorreto (`[a-zA-Z][a-zA-Z0-9+.-]+:`) usado para verificar o parâmetro `redirect uri` durante solicitações de autorização e de token. Essa falha permite que um cliente mal-intencionado injete uma carga XSS por meio do parâmetro `redirect uri`, o que pode levar a violações de segurança. **Recomendações** Para as versões 3.1.1 e anteriores, atualize para uma versão posterior à 3.1.1 para resolver o problema. Como solução alternativa temporária, considere validar o parâmetro `redirect uri` em relação a um padrão de URI correto para evitar redirecionamentos maliciosos.

**Nome do software vulnerável e versões afetadas: oauth2-server (também conhecido como node-oauth2-server) versões 3.1.1 e anteriores Descrição: O problema está relacionado à implementação do OAuth 2.0 sem PKCE, o que não impede a injeção de código de autorização. Isso é semelhante a um problema já conhecido. O fornecedor declarou que não considera isso uma vulnerabilidade da própria biblioteca, já que o RFC relevante é uma extensão. Recomendações: Para as versões 3.1.1 e anteriores, considere implementar PKCE para impedir a injeção de código de autorização como medida de mitigação. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.