Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en OAuth en workers-oauth-provider (CVE-2025-4143)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-601 Redireccionamiento de URL a sitio no confiable (Open Redirect)
Fecha de publicación:
01/05/2025
Última modificación:
12/05/2025

Descripción

La implementación de OAuth en workers-oauth-provider que forma parte del framework MCP https://github.com/cloudflare/workers-mcp , no validó correctamente que redirect_uri estuviera en la lista permitida de URI de redirección para el registro de cliente dado. Corregido en: https://github.com/cloudflare/workers-oauth-provider/pull/26 https://github.com/cloudflare/workers-oauth-provider/pull/26 Impacto: Bajo ciertas circunstancias (ver abajo), si una víctima había autorizado previamente con un servidor construido sobre workers-oath-provider, y un atacante pudiera engañar posteriormente a la víctima para que visitara un sitio web malicioso, entonces el atacante podría potencialmente robar las credenciales de la víctima al mismo servidor OAuth y posteriormente suplantarlas. Para que el ataque sea posible, la devolución de llamada autorizada del servidor OAuth debe estar diseñada para aprobar automáticamente las autorizaciones que parecen provenir de un cliente OAuth que la víctima ha autorizado previamente. El flujo de autorización no lo implementa workers-oauth-provider; la aplicación subyacente decide si implementa o no dicha reautorización automática. Sin embargo, muchas aplicaciones sí implementan esta lógica. Nota: Es un requisito básico y bien conocido que los servidores OAuth verifiquen que la URI de redirección se encuentre en la lista de permitidos para el cliente, tanto durante el flujo de autorización como posteriormente al intercambiar el código de autorización por un token de acceso. workers-oauth-provider implementó solo esta última comprobación, no la primera. Desafortunadamente, la primera es mucho más importante. Los lectores familiarizados con OAuth reconocerán que no comprobar las URI de redirección con la lista de permitidos es un error básico y bien conocido, ampliamente tratado en el RFC y en otras fuentes. El autor de esta librería desea que todos sepan que, de hecho, conocía bien este requisito, lo consideró detenidamente durante su diseño y, por alguna razón, olvidó asegurarse de que la comprobación estuviera incluida en el código. Es decir, no es que no supiera lo que hacía, es que sabía lo que hacía pero lo hizo mal.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:P/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N/U:Amber CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.00 MEDIA
Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:P/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N/U:Amber

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Passsive
Confidentiality (VC): Alto
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Bajo
Integrity (SI): Ninguno
Availability (SA): Ninguno
Provider Urgency (U): Amber

Puntuación base 4.0
6.00
Gravedad 4.0
MEDIA
Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:cloudflare:workers-oauth-provider:0.0.5:*:*:*:*:*:*:*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información