CVE-2026-44681
MediumCVSS 6.1Summary
Authlib to biblioteka Pythona, która buduje serwery OAuth i OpenID Connect. W wersjach przed 1.6.12 i 1.7.1 występowała nieautoryzowana otwarta przekierowanie w punkcie autoryzacji OpenIDImplicitGrant i OpenIDHybridGrant, co pozwalało zdalnemu atakującemu na wymuszenie wydania przez serwer autoryzacji HTTP 302 do wybranego przez atakującego adresu URL.
Risk Assessment
Wykorzystanie tej podatności może prowadzić do nieautoryzowanego przekierowania użytkowników na złośliwe strony, co stwarza ryzyko kradzieży danych lub oszustw. Organizacje mogą być narażone na utratę zaufania użytkowników oraz potencjalne straty finansowe.
Recommendation
Zaleca się aktualizację biblioteki Authlib do wersji 1.6.12 lub 1.7.1, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt bezpieczeństwa aplikacji korzystających z tej biblioteki.
Original NVD description (English source)
Authlib is a Python library which builds OAuth and OpenID Connect servers. Prior to 1.6.12 and 1.7.1, an unauthenticated open redirect in Authlib's OpenIDImplicitGrant and OpenIDHybridGrant authorization endpoint lets a remote attacker cause the authorization server to issue an HTTP 302 to an attacker-chosen URL by submitting an authorization request that omits the openid scope. This vulnerability is fixed in 1.6.12 and 1.7.1.

