CVE-2021-21291

**Nome do software vulnerável e versões afetadas:

Versões do OAuth2 Proxy anteriores à 7.0.0

Descrição:

O problema diz respeito ao recurso de lista de domínios permitidos no OAuth2 Proxy, onde um domínio com terminação semelhante ao domínio pretendido poderia ser permitido como redirecionamento. Por exemplo, se um domínio da lista de permitidos estiver configurado como “.example.com”, a intenção é que subdomínios de example.com sejam permitidos, mas “example.com” e “badexample.com” também poderiam corresponder. Isso ocorre porque o código não verifica se há um ponto para garantir que o redirecionamento seja um subdomínio.

Recomendações:

Para versões anteriores à 7.0.0, atualize para a versão 7.0.0 ou posterior para corrigir o problema.

Como solução alternativa temporária, considere desativar o recurso de lista de domínios permitidos e execute instâncias separadas do OAuth2 Proxy para cada subdomínio.