oauth2-server 安全漏洞

CNNVD-ID编号	CNNVD-202208-4359
CVE编号	CVE-2020-26938
发布时间	2022-08-29
更新时间	2022-08-30
漏洞类型	其他
漏洞来源	N/A
危险等级	N/A
威胁类型	N/A
厂商	N/A

漏洞介绍

oauth2-server是个人开发者的一个符合标准的用 PHP 编写的 OAuth 2.0 授权服务器的实现。为应用程序提供身份验证和授权功能，保护API安全。 oauth2-server（node-oauth2-server）3.1.1版本及之前版本存在安全漏洞。攻击者利用该漏洞在发出授权请求时通过redirect_uri参数传递跨站脚本有效载荷。

漏洞补丁

目前厂商已发布升级了oauth2-server 安全漏洞的补丁，oauth2-server 安全漏洞的补丁获取链接： https://github.com/oauthjs/node-oauth2-server/blob/91d2cbe70a0eddc53d72def96864e2de0fd41703/lib/grant-types/authorization-code-grant-type.js#L143

参考网址

来源:MISC

链接：https://github.com/oauthjs/node-oauth2-server/issues/637
来源:MISC

链接：https://github.com/oauthjs/node-oauth2-server/blob/91d2cbe70a0eddc53d72def96864e2de0fd41703/lib/validator/is.js#L12
来源:MISC

链接：https://tools.ietf.org/html/rfc6749#section-3.1.2
来源:MISC

链接：https://tools.ietf.org/html/rfc3986#section-3
来源:MISC

链接：https://github.com/oauthjs/node-oauth2-server/blob/91d2cbe70a0eddc53d72def96864e2de0fd41703/lib/grant-types/authorization-code-grant-type.js#L143

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202208-4359