anonhaven

CVE-2026-32246

HIGH CVSS 3.1: 8,5 EPSS 0.05%
Обновлено 12 марта 2026
Tinyauth
Параметр Значение
CVSS 8,5 (HIGH)
Устранено в версии 5.0.3
Тип уязвимости CWE-287 (Неправильная аутентификация)
Поставщик Tinyauth
Публичный эксплойт Нет

Tinyauth — это сервер аутентификации и авторизации. До версии 5.0.3 конечная точка авторизации OIDC позволяет пользователям с ожидающим сеансом TOTP (пароль проверен, TOTP еще не завершен) получать коды авторизации. Злоумышленник, знающий пароль пользователя, но не его секрет TOTP, может получить действительные токены OIDC, полностью минуя второй фактор.

Эта уязвимость исправлена ​​в версии 5.0.3.

Показать оригинальное описание (EN)

Tinyauth is an authentication and authorization server. Prior to 5.0.3, the OIDC authorization endpoint allows users with a TOTP-pending session (password verified, TOTP not yet completed) to obtain authorization codes. An attacker who knows a user's password but not their TOTP secret can obtain valid OIDC tokens, completely bypassing the second factor. This vulnerability is fixed in 5.0.3.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-287 Improper Authentication (Неправильная аутентификация)

Ссылки 1

https://github.com/steveiliop56/tinyauth/security/advisories/GHSA-3q28-qjrv-qr39
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-32245

Tinyauth

6,5