CVE-2026-29792

Nome do Software Vulnerável e Versões Afetadas Versões do Feathersjs de 5.0.0 até 5.0.41

Descrição O Feathersjs é um framework utilizado para construir APIs Web e aplicações em tempo real. Um atacante não autenticado pode explorar uma falha na funcionalidade de callback OAuth ao enviar uma requisição GET especialmente construída para o endpoint da API /oauth/:provider/callback. A vulnerabilidade origina-se de um mecanismo de fallback no processo de autenticação do serviço OAuth, que depende dos parâmetros de query da requisição (params.query) quando as respostas de sessão ou estado do Grant estão vazias. Isso permite que um atacante forje um perfil na query string e obtenha um token de acesso válido para um usuário existente sem interagir com o provedor OAuth. A vulnerabilidade ocorre porque o atacante nunca inicia um fluxo de autorização OAuth, resultando em uma sessão do Grant vazia e acionando o mecanismo de fallback.

Recomendações Atualize o Feathersjs para a versão 5.0.42 ou superior.