CVE-2024-42476

Biblioteca OAuth para nim em versões anteriores à 0.11

O problema diz respeito à biblioteca OAuth para nim, na qual a concessão por código de autorização e a concessão implícita dependem do parâmetro state para impedir ataques de falsificação de solicitação entre sites (CSRF). No entanto, quando compilada com certas opções de compilador, o parâmetro state pode não ser verificado, criando uma vulnerabilidade CSRF. Isso ocorre porque a biblioteca anteriormente dependia de um assert simples para verificar o parâmetro state, que pode ser desativado com sinalizadores como -d:danger ou --assertions:off. A versão 0.11 resolve isso usando uma instrução if regular ou doAssert para a verificação, garantindo o comportamento desejado mesmo quando as asserções estão desativadas.

Para versões anteriores à 0.11, atualize para a versão 0.11 para garantir que o parâmetro state seja verificado corretamente, evitando vulnerabilidades CSRF.

No momento, não há informações sobre outras versões que contenham uma correção para essa vulnerabilidade.