CVE-2024-31209

Versões do oidcc anteriores à 3.0.2

Versões do oidcc anteriores à 3.1.2

Versões do oidcc anteriores à 3.2.0-beta.3

É possível ocorrer um ataque de Negação de Serviço (DoS) por esgotamento de Atoms ao chamar oidcc provider configuration worker:get provider configuration/1 ou oidcc provider configuration worker:get jwks/1. É improvável que essa vulnerabilidade seja explorada, uma vez que o nome é normalmente fornecido como um valor estático na aplicação que utiliza o oidcc. A vulnerabilidade está presente em oidcc provider configuration worker:get ets table name/1, onde a função get ets table name chama erlang:list to atom/1. Existe um caso altamente improvável em que o segundo argumento de oidcc provider configuration worker:get */1 é chamado com um átomo diferente a cada vez, levando ao esgotamento da tabela de átomos e à falha do nó.

Para versões do oidcc anteriores à 3.0.2, atualize para a versão 3.0.2 ou posterior.

Para versões do oidcc anteriores à 3.1.2, atualize para a versão 3.1.2 ou posterior.

Para versões do oidcc anteriores à 3.2.0-beta.3, atualize para a versão 3.2.0-beta.3 ou posterior.

Como solução temporária, certifique-se de que apenas nomes válidos de workers de configuração de provedor sejam passados para as funções oidcc provider configuration worker:get provider configuration/1 e oidcc provider configuration worker:get jwks/1.