Plataforma
nodejs
Componente
@feathersjs/authentication-oauth
Corregido en
5.0.1
5.0.1
5.0.42
La vulnerabilidad CVE-2026-29792 es una falla de Ejecución Remota de Código (RCE) presente en la biblioteca @feathersjs/authentication-oauth, afectando versiones desde 5.0.0 hasta la 5.0.42. Un atacante no autenticado puede explotar esta falla enviando una solicitud GET maliciosa al endpoint /oauth/:provider/callback, permitiéndole obtener un token de acceso válido para un usuario existente. La solución es actualizar a la versión 5.0.42.
Esta vulnerabilidad permite a un atacante no autenticado comprometer la seguridad de las aplicaciones que utilizan @feathersjs/authentication-oauth. Al obtener un token de acceso válido, el atacante puede acceder a los recursos y datos asociados a la cuenta del usuario afectado, incluyendo la modificación de información, la ejecución de acciones en nombre del usuario, y potencialmente el acceso a otros sistemas si la aplicación se integra con otros servicios. La falta de autenticación necesaria para explotar la vulnerabilidad amplía significativamente el riesgo, ya que cualquier persona con acceso a la red puede intentar la explotación. La capacidad de obtener un token de acceso sin necesidad de un flujo de autorización OAuth legítimo representa un riesgo de seguridad crítico.
La vulnerabilidad fue publicada el 2026-03-10. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la naturaleza de la falla (RCE sin autenticación) la convierte en un objetivo atractivo para los atacantes. La falta de un KEV listing indica que CISA aún no considera esta vulnerabilidad como una amenaza de alto riesgo, pero la severidad CRÍTICA del CVSS sugiere que se debe priorizar su mitigación. Se recomienda monitorear activamente los sistemas afectados en busca de signos de explotación.
Applications built with FeathersJS that utilize the @feathersjs/authentication-oauth package for OAuth authentication are at risk. This includes applications with legacy configurations that do not properly validate OAuth callback requests or those relying on shared hosting environments where the application's security posture may be less controlled. Specifically, applications using older versions of FeathersJS and its authentication modules are most vulnerable.
• nodejs / server:
ps aux | grep feathersjs
find / -name "@feathersjs/authentication-oauth*" -exec ls -l {} +• generic web:
curl -I https://your-feathersjs-app.com/oauth/:provider/callback?profile=malicious_profile
grep "200 OK" /var/log/apache2/access.log | grep "/oauth/:provider/callback"disclosure
Estado del Exploit
EPSS
0.05% (16% percentil)
CISA SSVC
La mitigación principal para CVE-2026-29792 es actualizar la biblioteca @feathersjs/authentication-oauth a la versión 5.0.42 o superior. Si la actualización inmediata no es posible debido a problemas de compatibilidad, se recomienda implementar medidas de seguridad adicionales. Estas medidas pueden incluir la validación estricta de los parámetros de consulta en el endpoint /oauth/:provider/callback para prevenir la inyección de datos maliciosos. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear solicitudes sospechosas. Verifique después de la actualización que el endpoint /oauth/:provider/callback requiere autenticación y que los parámetros de consulta se validan correctamente.
Actualice Feathersjs a la versión 5.0.42 o superior. Esta versión corrige la vulnerabilidad de omisión de autenticación en el callback de OAuth. La actualización previene que atacantes no autenticados puedan obtener acceso no autorizado a cuentas de usuario.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-29792 is a critical vulnerability in FeathersJS OAuth allowing unauthenticated attackers to forge profiles and obtain access tokens for existing users, impacting versions before 5.0.42.
You are affected if your FeathersJS application uses the @feathersjs/authentication-oauth package and is running a version prior to 5.0.42. Immediate action is required.
Upgrade the @feathersjs/authentication-oauth package to version 5.0.42 or later. Consider WAF rules as a temporary mitigation if upgrading is not immediately possible.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests a potential for active exploitation. Monitor security advisories and threat intelligence.
Refer to the official FeathersJS security advisories and release notes on their website or GitHub repository for the latest information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.