Pocket ID — это поставщик OIDC, который позволяет пользователям проходить аутентификацию с помощью своих ключей доступа к вашим сервисам. Начиная с версии 2.0.0 и до версии 2.4.0, ошибка в проверке URL-адреса обратного вызова позволяла созданным значениям redirect_uri, содержащим информацию о пользователе URL-адреса (@), обходить законные проверки шаблона обратного вызова. Если злоумышленнику удастся обманом заставить пользователя открыть вредоносную ссылку авторизации, код авторизации может быть перенаправлен на хост, контролируемый злоумышленником.
Эта уязвимость исправлена в версии 2.4.0.
Показать оригинальное описание (EN)
Pocket ID is an OIDC provider that allows users to authenticate with their passkeys to your services. From 2.0.0 to before 2.4.0, a flaw in callback URL validation allowed crafted redirect_uri values containing URL userinfo (@) to bypass legitimate callback pattern checks. If an attacker can trick a user into opening a malicious authorization link, the authorization code may be redirected to an attacker-controlled host. This vulnerability is fixed in 2.4.0.
Характеристики атаки
Последствия
Строка CVSS v3.1