PT-2026-55718 · Cpan · Plack::Middleware::Oauth

Robert Rothenberg

·

Publicado

2026-07-04

·

Atualizado

2026-07-04

·

CVE-2026-12740

Nenhuma

Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do Software Vulnerável e Versões Afetadas Plack::Middleware::OAuth versões anteriores a 0.11
Descrição O Plack::Middleware::OAuth para Perl não oferece suporte ao parâmetro state do OAuth 2.0. A função RequestTokenV2 constrói o redirecionamento de autorização do provedor sem emitir um valor de estado, e a função AccessTokenV2 troca o código de callback e registra o token na sessão através de register session() sem verificar se o callback corresponde a uma solicitação de autorização iniciada por aquela sessão. Isso permite a falsificação de solicitação cross-site (CSRF) de login, na qual um invasor pode forçar a sessão de uma vítima a se associar à identidade e ao token de acesso do provedor do invasor. Se a aplicação persistir esse vínculo, o invasor poderá manter acesso à conta da vítima.
Recomendações Atualize o Plack::Middleware::OAuth para a versão 0.11 ou posterior.

CSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-12740

Produtos afetados

Plack::Middleware::Oauth