Pocket ID — это поставщик OIDC, который позволяет пользователям проходить аутентификацию с помощью своих ключей доступа к вашим сервисам. До версии 2.4.0 конечная точка токена OIDC отклоняет код авторизации только в том случае, если идентификатор клиента неверен и срок действия кода истек. Это позволяет осуществлять межклиентский обмен кодами и повторно использовать код с истекшим сроком действия.
Эта уязвимость исправлена в версии 2.4.0.
Показать оригинальное описание (EN)
Pocket ID is an OIDC provider that allows users to authenticate with their passkeys to your services. Prior to 2.4.0, the OIDC token endpoint rejects an authorization code only when both the client ID is wrong and the code is expired. This allows cross-client code exchange and expired code reuse. This vulnerability is fixed in 2.4.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Pocket-Id Pocket_Id
cpe:2.3:a:pocket-id:pocket_id:*:*:*:*:*:*:*:*
|
— |
2.4.0
|