Vulnerabilidad en el soporte PKCE no está implementado según el RFC para OAuth en el paquete com.google.oauth-client:google-oauth-client (CVE-2020-7692)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/07/2020
Última modificación:
07/11/2023
Descripción
Un soporte PKCE no está implementado de acuerdo con el RFC para OAuth versión 2.0 para Native Apps. Sin el uso de PKCE, el código de autorización devuelto por un servidor de autorización no es suficiente para garantizar que el cliente que emitió la petición de autorización inicial sea el que será autorizado. Un atacante puede ser capaz de obtener el código de autorización usando una aplicación maliciosa en el lado del cliente y usarlo para conseguir autorización para el recurso protegido. Esto afecta el paquete com.google.oauth-client:google-oauth-client versiones anteriores a 1.31.0
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:google:oauth_client_library_for_java:*:*:*:*:*:*:*:* | 1.31.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/googleapis/google-oauth-java-client/commit/13433cd7dd06267fc261f0b1d4764f8e3432c824
- https://github.com/googleapis/google-oauth-java-client/issues/469
- https://lists.apache.org/thread.html/r3db6ac73e0558d64f0b664f2fa4ef0a865e57c5de20f8321d3b48678%40%3Ccommits.druid.apache.org%3E
- https://lists.apache.org/thread.html/reae8909b264d1103f321b9ce1623c10c1ddc77dba9790247f2c0c90f%40%3Ccommits.druid.apache.org%3E
- https://snyk.io/vuln/SNYK-JAVA-COMGOOGLEOAUTHCLIENT-575276
- https://tools.ietf.org/html/rfc7636%23section-1
- https://tools.ietf.org/html/rfc8252%23section-8.1