CVE-2025-14546

Nome do Software Vulnerável e Versões Afetadas Versões do fastapi-sso anteriores à 0.19.0

Descrição O software está suscetível a Falsificação de Solicitação Entre Sites (CSRF) devido à validação inadequada do parâmetro de estado OAuth durante o callback de autenticação. O método get login url gera um valor de estado, mas não o armazena nem o associa à sessão do usuário. Posteriormente, o método verify and process aceita o parâmetro de estado dos parâmetros de consulta sem compará-lo a um valor confiável armazenado localmente. Isso permite que um atacante induza um usuário a visitar um URL de callback malicioso, potencialmente vinculando a conta do atacante à conta interna do usuário.

Recomendações Atualize para a versão 0.19.0 ou posterior.