CVE-2026-44681
ŚrednieCVSS 6.1Streszczenie
Authlib to biblioteka Pythona, która buduje serwery OAuth i OpenID Connect. W wersjach przed 1.6.12 i 1.7.1 występowała nieautoryzowana otwarta przekierowanie w punkcie autoryzacji OpenIDImplicitGrant i OpenIDHybridGrant, co pozwalało zdalnemu atakującemu na wymuszenie wydania przez serwer autoryzacji HTTP 302 do wybranego przez atakującego adresu URL.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do nieautoryzowanego przekierowania użytkowników na złośliwe strony, co stwarza ryzyko kradzieży danych lub oszustw. Organizacje mogą być narażone na utratę zaufania użytkowników oraz potencjalne straty finansowe.
Rekomendacja
Zaleca się aktualizację biblioteki Authlib do wersji 1.6.12 lub 1.7.1, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt bezpieczeństwa aplikacji korzystających z tej biblioteki.
Oryginalny opis (angielski, źródło NVD)
Authlib is a Python library which builds OAuth and OpenID Connect servers. Prior to 1.6.12 and 1.7.1, an unauthenticated open redirect in Authlib's OpenIDImplicitGrant and OpenIDHybridGrant authorization endpoint lets a remote attacker cause the authorization server to issue an HTTP 302 to an attacker-chosen URL by submitting an authorization request that omits the openid scope. This vulnerability is fixed in 1.6.12 and 1.7.1.

