CVE-2020-15223

Versões do ORY Fosite anteriores à 0.34.0

O problema decorre do tratamento inadequado de erros no TokenRevocationHandler, que ignora erros provenientes do armazenamento. Isso pode levar a códigos de status 200 inesperados, indicando revogação bem-sucedida enquanto o token ainda está válido. A capacidade de um invasor explorar essa vulnerabilidade depende da capacidade de provocar erros no armazenamento subjacente.

Para versões anteriores à 0.34.0, atualize para a versão 0.34.0 para resolver o problema. Como solução temporária, considere implementar mecanismos adicionais de tratamento de erros para o TokenRevocationHandler a fim de evitar códigos de status 200 inesperados. Restrinja o acesso ao endpoint de revogação de tokens para minimizar o risco de exploração até que a atualização seja aplicada.