Vulnerabilidad en yii2-authclient (CVE-2023-50714)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
22/12/2023
Última modificación:
08/01/2024
Descripción
yii2-authclient es una extensión que agrega consumidores OpenID, OAuth, OAuth2 y OpenId Connect para el framework Yii 2.0. En yii2-authclient anterior a la versión 2.2.15, la implementación de Oauth2 PKCE es vulnerable de 2 maneras. Primero, "authCodeVerifier" debe eliminarse después de su uso (similar a "authState"). En segundo lugar, existe el riesgo de un "downgrade attack" si se confía en PKCE para la protección CSRF. La versión 2.2.15 contiene un parche para el problema. No hay workarounds disponibles.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:yiiframework:yii2-authclient:*:*:*:*:*:*:*:* | 2.2.15 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/yiisoft/yii2-authclient/blob/0d1c3880f4d79e20aa1d77c012650b54e69695ff/src/OAuth1.php#L158
- https://github.com/yiisoft/yii2-authclient/blob/0d1c3880f4d79e20aa1d77c012650b54e69695ff/src/OAuth2.php#L121
- https://github.com/yiisoft/yii2-authclient/blob/0d1c3880f4d79e20aa1d77c012650b54e69695ff/src/OpenIdConnect.php#L420
- https://github.com/yiisoft/yii2-authclient/commit/721ed974bc44137437b0cdc8454e137fff8db213
- https://github.com/yiisoft/yii2-authclient/security/advisories/GHSA-rw54-6826-c8j5