Yii2-authclient
Уязвимости
2
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.00716
Распределение по критичности
Критический
1
Высокий
1
Средний
0
Низкий
0
Затронутые диапазоны версий
< 2.2.15
Также сопоставлено как (исходные строки): yii2-authclient
Топ уязвимостей
CVE-2023-50708yii2-authclient — это расширение, которое добавляет потребителей OpenID, OAuth, OAuth2 и OpenId Connect для Yii framework 2.0. В yii2-authclient до версии 2.2.15 Oauth1/2 `state` и OpenID Connect `nonce` уязвимы для `атаки по времени`, поскольку сравниваются с помощью обычного сравнения строк (вместо `Yii::$app->getSecurity()->compareString()`). Версия 2.2.15 содержит исправление этой проблемы. Известных обходных путей не существует.
CVE-2023-50714yii2-authclient — это расширение, которое добавляет потребителей OpenID, OAuth, OAuth2 и OpenId Connect для Yii framework 2.0. В yii2-authclient до версии 2.2.15 реализация Oauth2 PKCE уязвима двумя способами. Во-первых, `authCodeVerifier` следует удалить после использования (аналогично `authState`). Во-вторых, существует риск `понижающей атаки`, если PKCE используется для защиты CSRF. Версия 2.2.15 содержит исправление этой проблемы. Известных обходных путей не существует.