PT-2022-23176 · Oauthlib+6 · Oauthlib+6

Jonathan Huot

+1

·

Publicado

2022-09-09

·

Atualizado

2025-07-31

·

CVE-2022-36087

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões 3.1.1 a 3.2.1 do OAuthLib
Descrição
A vulnerabilidade permite que um invasor, ao fornecer um URI de redirecionamento malicioso, cause uma negação de serviço. Um invasor também pode explorar o uso das funções uri validate, dependendo de onde elas forem utilizadas. Aplicativos OAuthLib que utilizam suporte ao provedor OAuth 2.0 ou que utilizam diretamente uri validate são afetados por esta vulnerabilidade.
Recomendações
Para as versões 3.1.1 a 3.2.1 do OAuthLib, atualize para a versão 3.2.1 ou posterior para resolver o problema.
Como solução alternativa temporária, considere verificar o redirect uri no kit de ferramentas da web antes que o OAuthLib seja chamado e rejeite solicitações com URIs maliciosas, como aquelas que contêm dois pontos (:), presumindo que nenhuma porta ou IPv6 seja fundamentalmente necessária.

Exploit

Correção

DoS

Open Redirect

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-601CWE-20

Identificadores relacionados

ALSA-2023:2161
ALSA-2023_2161
ALT-PU-2022-3443
BDU:2025-09877
CVE-2022-36087
GHSA-3PGJ-PG6C-R5P7
OESA-2022-1971
OPENSUSE-SU-2024:12339-1
OPENSUSE-SU-2025:15100-1
PYSEC-2022-269
RHSA-2023:2161
RHSA-2023_2161
USN-5632-1

Produtos afetados

Alt Linux
Almalinux
Linuxmint
Oauthlib
Red Hat
Red Os
Ubuntu