Vulnerabilidad en ScratchOAuth2 (CVE-2021-29437)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/04/2021
Última modificación:
26/06/2023
Descripción
ScratchOAuth2 es una implementación de Oauth para Scratch. Cualquier dato relacionado con ScratchOAuth2 normalmente accesible y modificable por un usuario puede ser leído y modificado por un tercero. 1. El usuario de Scratch visita un sitio de terceros. 2. El sitio de terceros solicita al usuario el nombre de usuario de Scratch. 3. El sitio de terceros pretende ser un usuario y obtiene el código de inicio de sesión de ScratchOAuth2. 4. El sitio de terceros proporciona un código al usuario y le indica que lo publique en su perfil. 5. El usuario publica el código en su perfil, sin saber que es un código de inicio de sesión de ScratchOAuth2. 6. El sitio de terceros completa el inicio de sesión con ScratchOAuth2. 7. El sitio de terceros tiene acceso completo a cualquier cosa que el usuario pueda hacer si inicia sesión directamente. Consulte el aviso de seguridad de GitHub al que se hace referencia para ver notas de parches y soluciones
Impacto
Puntuación base 3.x
6.80
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:scratchoauth2_project:scratchoauth2:*:*:*:*:*:scratch:*:* | 2021-04-13 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página