CVE-2022-24794

Versões do Express OpenID Connect anteriores à 2.7.2

A vulnerabilidade afeta usuários do middleware requiresAuth, seja diretamente ou por meio da opção padrão authRequired, tornando-os vulneráveis a um ataque de redirecionamento aberto (Open Redirect) quando o middleware é aplicado a uma rota genérica. Se todas as rotas de um domínio estiverem protegidas com o middleware requiresAuth, uma visita a uma URL como http://example.com//google.com será redirecionada para google.com após o login, pois a URL original reportada pela estrutura Express não é devidamente sanitizada.

Para versões anteriores à 2.7.2, atualize para a versão 2.7.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere evitar o uso do middleware requiresAuth em rotas catch-all até que a atualização seja aplicada.