OAuth2 Proxy — это обратный прокси-сервер, обеспечивающий аутентификацию с использованием поставщиков OAuth2. Регрессия, представленная в версии 7.11.0, не позволяет прокси-серверу OAuth2 очищать файл cookie сеанса при отображении страницы входа. В развертываниях, в которых страница входа используется как часть процесса выхода из системы, пользователю может быть показана страница входа, в то время как существующий файл cookie сеанса остается действительным, то есть выход из сеанса браузера фактически не происходит.
На общих рабочих станциях или устройствах последующий пользователь может продолжать использовать прошедший проверку подлинности сеанс предыдущего пользователя. Развертывания, которые используют выделенную конечную точку выхода из системы для завершения сеансов, не затрагиваются. Эта проблема исправлена в версии 7.15.2.
Показать оригинальное описание (EN)
OAuth2 Proxy is a reverse proxy that provides authentication using OAuth2 providers. A regression introduced in 7.11.0 prevents OAuth2 Proxy from clearing the session cookie when rendering the sign-in page. In deployments that rely on the sign-in page as part of their logout flow, a user may be shown the sign-in page while the existing session cookie remains valid, meaning the browser session is not actually logged out. On shared workstations or devices, a subsequent user could continue to use the previous user's authenticated session. Deployments that use a dedicated logout/sign-out endpoint to terminate sessions are not affected. This issue is fixed in 7.15.2
Характеристики атаки
Последствия
Строка CVSS v3.1