PT-2026-55719 · Biafra · Dancer2::Plugin::Auth::Oauth::Provider

Paulo A Ferreira

·

Publicado

2026-07-04

·

Atualizado

2026-07-04

·

CVE-2026-12746

Nenhuma

Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do Software Vulnerável e Versões Afetadas Dancer2::Plugin::Auth::OAuth::Provider versões anteriores a 0.23
Descrição O software não oferece suporte ao parâmetro state do OAuth 2.0. O método authentication url() cria um redirecionamento de autorização do provedor sem um valor de estado, e o método callback() processa o código de retorno e registra o token na sessão sem verificar se o retorno corresponde a uma solicitação de autorização iniciada por aquela sessão. Isso permite a falsificação de solicitação cross-site (CSRF) de login, na qual um invasor pode forçar a sessão de uma vítima a se associar à identidade e ao token de acesso do provedor do invasor. Se a aplicação persistir esse vínculo, o invasor poderá manter acesso à conta da vítima.
Recomendações Atualize para a versão 0.23 ou posterior.

CSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-12746

Produtos afetados

Dancer2::Plugin::Auth::Oauth::Provider