PT-2026-55718 · Cpan · Plack::Middleware::Oauth
Robert Rothenberg
·
Publicado
2026-07-04
·
Atualizado
2026-07-04
·
CVE-2026-12740
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do Software Vulnerável e Versões Afetadas
Plack::Middleware::OAuth versões anteriores a 0.11
Descrição
O Plack::Middleware::OAuth para Perl não oferece suporte ao parâmetro state do OAuth 2.0. A função
RequestTokenV2 constrói o redirecionamento de autorização do provedor sem emitir um valor de estado, e a função AccessTokenV2 troca o código de callback e registra o token na sessão através de register session() sem verificar se o callback corresponde a uma solicitação de autorização iniciada por aquela sessão. Isso permite a falsificação de solicitação cross-site (CSRF) de login, na qual um invasor pode forçar a sessão de uma vítima a se associar à identidade e ao token de acesso do provedor do invasor. Se a aplicação persistir esse vínculo, o invasor poderá manter acesso à conta da vítima.Recomendações
Atualize o Plack::Middleware::OAuth para a versão 0.11 ou posterior.
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Plack::Middleware::Oauth