CVE-2020-11053

Versões do OAuth2 Proxy anteriores à 5.1.1

O problema está relacionado a uma vulnerabilidade de redirecionamento aberto. Os usuários podem fornecer um endereço de redirecionamento para o proxy enviar o usuário autenticado ao final do fluxo de autenticação. Essa URL de redirecionamento é verificada dentro do proxy e validada antes de redirecionar o usuário, a fim de impedir que agentes mal-intencionados forneçam redirecionamentos para sites potencialmente prejudiciais. No entanto, ao criar uma URL de redirecionamento com caracteres de espaço em branco codificados em HTML, a validação pode ser contornada, permitindo o redirecionamento para qualquer URL fornecida.

Para versões do OAuth2 Proxy anteriores à 5.1.1, atualize para a versão 5.1.1 para resolver o problema. Como solução alternativa temporária, considere validar URLs de redirecionamento de forma mais rigorosa para impedir que a validação seja contornada. Restrinja o acesso à função IsValidRedirect para minimizar o risco de exploração. Evite usar caracteres de espaço em branco codificados em HTML em URLs de redirecionamento até que o problema seja resolvido.