CVE-2026-41213
ŚrednieCVSS 5.9Streszczenie
Moduł @node-oauth/oauth2-server w Node.js ma lukę, która pozwala na akceptację nieprawidłowych wartości code_verifier zgodnych z RFC7636, w tym jednoczłonowych ciągów, w przepływach S256 PKCE. To umożliwia atakującym przeprowadzanie ataków brute-force na code_verifier po przechwyceniu kodu autoryzacyjnego.
Ocena ryzyka
Organizacja narażona jest na ryzyko, że atakujący mogą uzyskać dostęp do tokenów dostępu poprzez odgadnięcie słabych wartości code_verifier, co może prowadzić do nieautoryzowanego dostępu do zasobów.
Rekomendacja
Zaleca się aktualizację modułu @node-oauth/oauth2-server do najnowszej wersji, która naprawia tę lukę oraz wdrożenie dodatkowych zabezpieczeń w celu ograniczenia możliwości przeprowadzania ataków brute-force.
Oryginalny opis (angielski, źródło NVD)
@node-oauth/oauth2-server is a module for implementing an OAuth2 server in Node.js. The token exchange path accepts RFC7636-invalid code_verifier values (including one-character strings) for S256 PKCE flows. Because short/weak verifiers are accepted and failed verifier attempts do not consume the authorization code, an attacker who intercepts an authorization code can brute-force code_verifier guesses online until token issuance succeeds.

