CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-41213

MediumCVSS 5.9
Published: Updated: Translated: NVD NIST

Summary

Moduł @node-oauth/oauth2-server w Node.js ma lukę, która pozwala na akceptację nieprawidłowych wartości code_verifier zgodnych z RFC7636, w tym jednoczłonowych ciągów, w przepływach S256 PKCE. To umożliwia atakującym przeprowadzanie ataków brute-force na code_verifier po przechwyceniu kodu autoryzacyjnego.

Risk Assessment

Organizacja narażona jest na ryzyko, że atakujący mogą uzyskać dostęp do tokenów dostępu poprzez odgadnięcie słabych wartości code_verifier, co może prowadzić do nieautoryzowanego dostępu do zasobów.

Recommendation

Zaleca się aktualizację modułu @node-oauth/oauth2-server do najnowszej wersji, która naprawia tę lukę oraz wdrożenie dodatkowych zabezpieczeń w celu ograniczenia możliwości przeprowadzania ataków brute-force.

Original NVD description (English source)

@node-oauth/oauth2-server is a module for implementing an OAuth2 server in Node.js. The token exchange path accepts RFC7636-invalid code_verifier values (including one-character strings) for S256 PKCE flows. Because short/weak verifiers are accepted and failed verifier attempts do not consume the authorization code, an attacker who intercepts an authorization code can brute-force code_verifier guesses online until token issuance succeeds.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS