CVE-2024-51987

Versões do Duende.AccessTokenManagement.OpenIdConnect anteriores à 3.0.1

Duende.AccessTokenManagement.OpenIdConnect é um conjunto de bibliotecas .NET que gerencia tokens de acesso OAuth e OpenId Connect. Clientes HTTP criados por AddUserAccessTokenHttpClient podem usar o token de acesso de um usuário diferente após a atualização do token. Isso ocorre porque um token atualizado será capturado em instâncias agrupadas de HttpClient, que podem ser usadas por um usuário diferente. Em vez de usar AddUserAccessTokenHttpClient para criar um HttpClient que adiciona automaticamente um token gerenciado às solicitações de saída, você pode usar o método de extensão HttpConext.GetUserAccessTokenAsync ou o método IUserTokenManagementService.GetAccessTokenAsync.

Para versões anteriores à 3.0.1, atualize para o Duende. AccessTokenManagement.OpenIdConnect 3.0.1 para corrigir o problema.

Como solução alternativa temporária, considere usar o método de extensão HttpConext.GetUserAccessTokenAsync ou o método IUserTokenManagementService.GetAccessTokenAsync em vez de AddUserAccessTokenHttpClient para criar um HttpClient que adicione automaticamente um token gerenciado às solicitações de saída.