CVE-2026-42560

Nome do Software Vulnerável e Versões Afetadas auth versões 1.18.0 até 1.25.1 auth versões 2.0.0 até 2.1.1

Descrição O provedor OAuth do Patreon mapeia cada conta do Patreon autenticada para o mesmo user.ID local, em vez de derivar um ID exclusivo da conta retornada pelo Patreon. Isso ocorre porque a função mapUser() gera o hash de um campo de destino não inicializado, em vez do ID de usuário real do Patreon. Consequentemente, todos os usuários autenticados via Patreon são fundidos em uma única identidade local. Aplicativos que confiam no token.User.ID como uma chave de conta estável podem acabar misturando ou mesclando usuários não relacionados, o que pode levar ao acesso entre contas, confusão de privilégios e vazamento de estado de assinatura.

Recomendações Atualizar para a versão 1.25.2. Atualizar para a versão 2.1.2.