CVE-2024-29033

Versões do oauthenticator anteriores à 16.3.0

O problema está relacionado ao parâmetro GoogleOAuthenticator.hosted domain, que tem como objetivo restringir o acesso a contas do Google que façam parte de uma ou mais organizações do Google verificadas como responsáveis pelo controle de domínios específicos. No entanto, antes da versão 16.3.0, a restrição efetiva era aplicada a contas do Google com e-mails terminados no domínio, permitindo que contas criadas por qualquer pessoa capaz de ler um e-mail associado ao domínio acessassem o sistema. Isso foi descrito por Dylan Ayrey em uma postagem de blog de 15 de dezembro de 2023. O OAuthenticator 16.3.0 contém uma correção para esse problema.

Para versões anteriores à 16.3.0, atualize para a versão 16.3.0 ou posterior do oauthenticator.

Como solução alternativa temporária, restrinja quem pode fazer login de outra forma, como usando allowed users ou allowed google groups.