Vulnerabilidad en Pocketbase (CVE-2024-38351)

Pocketbase es un backend web de código abierto escrito en go. En las versiones afectadas, un usuario malintencionado puede comprometer las cuentas de otros usuarios. Para ser explotados, los usuarios deben tener habilitados los métodos de autenticación OAuth2 y Contraseña. Un posible escenario de ataque podría ser: 1. un actor malintencionado se registra con el correo electrónico del usuario objetivo (no está verificado), 2. en algún momento posterior, el usuario objetivo tropieza con su aplicación y decide registrarse con OAuth2 (_este paso El atacante también podría iniciarlo enviando un correo electrónico de invitación al usuario objetivo_), 3. en una autenticación OAuth2 exitosa, buscamos un usuario de PocketBase existente que coincida con el correo electrónico del usuario OAuth2 y lo asociamos, 4. porque no hemos cambiado el contraseña del usuario de PocketBase existente durante la vinculación, el actor malicioso tiene acceso a la cuenta de usuario objetivo y podrá iniciar sesión con el correo electrónico/contraseña creado inicialmente. Para evitar que esto suceda, ahora restablecemos la contraseña para este caso específico si el usuario creado anteriormente no fue verificado (una excepción a esto es si el enlace es explícito/manual, también conocido como cuando envía `Autorización:TOKEN` con OAuth2 llamada de autenticación). Además, para advertir a los usuarios existentes, ahora enviamos una alerta por correo electrónico en caso de que el usuario haya iniciado sesión con contraseña pero tenga al menos una cuenta OAuth2 vinculada. El flujo se mejorará aún más con la refactorización continua y comenzaremos a enviar correos electrónicos para inicios de sesión de "dispositivos no reconocidos" (OTP y MFA ya están implementados y estarán disponibles con la próxima versión v0.23.0 en un futuro próximo). Por el momento, se recomienda a los usuarios que actualicen a la versión 0.22.14. No se conocen workarounds para esta vulnerabilidad.