ory ORY Fosite 输入验证错误漏洞
| CNNVD-ID编号 | CNNVD-202010-091 | CVE编号 | CVE-2020-15234 |
| 发布时间 | 2020-10-02 | 更新时间 | 2020-10-26 |
| 漏洞类型 | 输入验证错误 | 漏洞来源 | N/A |
| 危险等级 | 中危 | 威胁类型 | 远程 |
| 厂商 | N/A | ||
漏洞介绍
ory ORY Fosite是ory公司的一款GO语言编写的OAUTH、OPENID连接框架。
ORY Fosite 0.34.1版本之前版本,0.30.2版本及之前版本存在安全漏洞,该漏洞源于在注册URL重定向和重定向URL提供了相比在OAuth2授权端点使用字符串。低时应该与一个简单的字符串匹配。攻击者可利用该漏洞注册客户端允许重定向URL https://example.com/callback。然后执行OAuth2流和请求重定向URL https://example.com/CALLBACK。而不是一个错误(无效的重定向URL),浏览器重定向到https://example.com/CALLBACK可能成功OAuth2响应,根据整体OAuth2流的状态(例如用户可能仍然拒绝请求)。
漏洞补丁
目前厂商已发布升级了ory ORY Fosite 输入验证错误漏洞的补丁,ory ORY Fosite 输入验证错误漏洞的补丁获取链接:
https://github.com/ory/fosite/commit/cdee51ebe721bfc8acca0fd0b86b030ca70867bf
参考网址
来源:MISC
链接:https://github.com/ory/fosite/commit/cdee51ebe721bfc8acca0fd0b86b030ca70867bf
来源:CONFIRM
链接:https://github.com/ory/fosite/security/advisories/GHSA-grfp-q2mm-hfp6
受影响实体
暂无
信息来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202010-091
评论