PT-2020-10227 · Passport · Passport-Cognito
Publicado
2020-09-04
·
Atualizado
2020-09-04
·
CVE-2019-19723
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
Todas as versões do passport-cognito
Descrição
O problema está relacionado à autorização inadequada. O pacote não define corretamente o escopo das variáveis que contêm informações de autorização, como
access token, refresh token e ID token. Isso causa uma condição de corrida em que usuários autenticados simultaneamente podem receber tokens de autorização de outro usuário, permitindo que um usuário realize ações em nome de outro usuário.Recomendações
Considere usar um pacote alternativo até que uma correção seja disponibilizada.
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Passport-Cognito