oauth2
Corregido en
1.9.1
1.9rc1
La vulnerabilidad CVE-2013-4346 afecta a la biblioteca python-oauth2, específicamente a la función Server.verify_request. Esta falla permite a atacantes remotos ejecutar ataques de repetición aprovechando la falta de verificación del parámetro nonce en las URLs firmadas. Las versiones afectadas son aquellas iguales o inferiores a 1.5.211; la solución recomendada es actualizar a la versión 1.9rc1.
Un atacante puede explotar esta vulnerabilidad para interceptar una URL firmada válida y luego retransmitirla para realizar acciones en nombre del usuario original. Esto podría resultar en el acceso no autorizado a recursos protegidos, la modificación de datos o la ejecución de acciones no autorizadas. El impacto es significativo, ya que permite la suplantación de identidad y la manipulación de flujos de autenticación. La ausencia de validación del nonce facilita la reutilización de tokens, comprometiendo la integridad del proceso de OAuth2.
La vulnerabilidad CVE-2013-4346 fue publicada en 2014. No se ha reportado su explotación activa en campañas conocidas, pero la naturaleza del ataque de repetición lo hace inherentemente fácil de explotar si se tiene acceso a una URL firmada válida. La probabilidad de explotación se considera media debido a la relativa antigüedad de la vulnerabilidad y la disponibilidad de herramientas para realizar ataques de repetición. No se encuentra en KEV ni tiene una puntuación EPSS asignada.
Estado del Exploit
EPSS
0.47% (65% percentil)
Vector CVSS
La mitigación principal es actualizar la biblioteca python-oauth2 a la versión 1.9rc1 o superior, que incluye la corrección de esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar una validación de nonce personalizada en la aplicación que utiliza la biblioteca. Esto implica generar un nonce único para cada solicitud y verificar que este nonce no haya sido utilizado previamente. Además, considere la implementación de reglas en un WAF (Web Application Firewall) para detectar y bloquear solicitudes con URLs firmadas sospechosas. Verifique la corrección de la vulnerabilidad después de la actualización confirmando que el parámetro nonce se valida correctamente en cada solicitud.
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2013-4346 is a HIGH severity vulnerability in python-oauth2 versions ≤1.5.211. It allows attackers to replay signed URLs due to missing nonce verification, potentially leading to unauthorized actions.
You are affected if your application uses python-oauth2 version 1.5.211 or earlier. Check your installed version using pip show python-oauth2.
Upgrade to version 1.9rc1 or later of python-oauth2. As a temporary measure, implement strict URL validation and rate limiting.
There is no widespread evidence of active exploitation, but the vulnerability's nature makes it a potential target for opportunistic attacks.
While a dedicated advisory might not exist, refer to the python-oauth2 project's repository and related discussions for information: https://github.com/SimpleGeo/python-oauth2
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.