CVE-2025-58067

Nome do Software Vulnerável e Versões Afetadas Versões da gem google sign in do Basecamp anteriores à 1.3.1

Descrição A gem persiste uma URL para redirecionamento após a autenticação. Se esta URL estiver definida como uma URL relativa ao protocolo, ela passa indevidamente pela verificação de "mesma origem", potencialmente redirecionando um usuário para outra origem após a autenticação. Isso poderia resultar na exposição de informações de autenticação se encadeado com outros ataques que modificam os parâmetros de requisição OAuth2. Qualquer aplicação Rails que utilize a gem pode estar vulnerável se este vetor puder ser encadeado com outro ataque.

Recomendações Atualize para a versão 1.3.1 ou posterior.