Katalog CVE

CVE-2026-44681

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Authlib to biblioteka Pythona, która buduje serwery OAuth i OpenID Connect. W wersjach przed 1.6.12 i 1.7.1 występowała nieautoryzowana otwarta przekierowanie w punkcie autoryzacji OpenIDImplicitGrant i OpenIDHybridGrant, co pozwalało zdalnemu atakującemu na wymuszenie wydania przez serwer autoryzacji HTTP 302 do wybranego przez atakującego adresu URL.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do nieautoryzowanego przekierowania użytkowników na złośliwe strony, co stwarza ryzyko kradzieży danych lub oszustw. Organizacje mogą być narażone na utratę zaufania użytkowników oraz potencjalne straty finansowe.

Rekomendacja

Zaleca się aktualizację biblioteki Authlib do wersji 1.6.12 lub 1.7.1, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt bezpieczeństwa aplikacji korzystających z tej biblioteki.

Oryginalny opis (angielski, źródło NVD)

Authlib is a Python library which builds OAuth and OpenID Connect servers. Prior to 1.6.12 and 1.7.1, an unauthenticated open redirect in Authlib's OpenIDImplicitGrant and OpenIDHybridGrant authorization endpoint lets a remote attacker cause the authorization server to issue an HTTP 302 to an attacker-chosen URL by submitting an authorization request that omits the openid scope. This vulnerability is fixed in 1.6.12 and 1.7.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS