PT-2020-8469 · Unknown · Oauth2-Server
Tamjidrahat
·
Publicado
2020-10-04
·
Atualizado
2024-08-05
·
CVE-2017-18924
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
oauth2-server (também conhecido como node-oauth2-server) versões 3.1.1 e anteriores
Descrição:
O problema está relacionado à implementação do OAuth 2.0 sem PKCE, o que não impede a injeção de código de autorização. Isso é semelhante a um problema já conhecido. O fornecedor declarou que não considera isso uma vulnerabilidade da própria biblioteca, já que o RFC relevante é uma extensão.
Recomendações:
Para as versões 3.1.1 e anteriores, considere implementar PKCE para impedir a injeção de código de autorização como medida de mitigação.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oauth2-Server