CVE-2026-41213

Name of the Vulnerable Software and Affected Versions @node-oauth/oauth2-server (versões afetadas não especificadas)

Description O caminho de troca de token aceita valores de code verifier inválidos, incluindo strings de um único caractere, para fluxos S256 PKCE (Proof Key for Code Exchange), o que contraria a RFC7636. Como verificadores curtos ou fracos são permitidos e as tentativas malsucedidas não invalidam o código de autorização, um invasor que intercepte um código de autorização pode realizar um ataque de força bruta online em tentativas de code verifier para obter um token.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.