PT-2022-8850 · Unknown · Apifest Oauth 2.0 Server
Publicado
2022-06-29
·
Atualizado
2022-07-08
·
CVE-2020-26877
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
ApiFest OAuth 2.0 Server versão 0.3.1
Descrição
A vulnerabilidade está relacionada à falha na validação do URI de redirecionamento de acordo com a RFC 6749, tornando o servidor suscetível a um ataque de redirecionamento aberto. Um invasor pode manipular o parâmetro
redirect uri para obter um código de autorização vazado quando o servidor redireciona o cliente para a URI manipulada.Recomendações
Para o ApiFest OAuth 2.0 Server versão 0.3.1, considere implementar a validação da URI de redirecionamento para garantir que ela corresponda à URI registrada do cliente que iniciou a solicitação, como uma solução temporária para prevenir ataques de redirecionamento aberto. Restrinja o acesso ao endpoint do código de autorização para minimizar o risco de exploração. Evite usar o parâmetro
redirect uri no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apifest Oauth 2.0 Server