Plateforme
go
Composant
github.com/steveiliop56/tinyauth
Corrigé dans
5.0.6
1.0.1-0.20260401140714-fc1d4f2082a5
CVE-2026-33544 est une vulnérabilité de type "race condition" affectant tinyauth. Elle permet, lors de connexions OAuth concurrentes, à un utilisateur d'obtenir une session avec l'identité d'un autre utilisateur. Les versions affectées sont les versions inférieures à 5.0.5. La version 5.0.5 corrige cette vulnérabilité.
La vulnérabilité CVE-2026-33544 dans tinyauth permet à un attaquant, dans certaines circonstances, d'usurper l'identité d'un autre utilisateur pendant le processus de connexion OAuth. Cela est dû à une condition de concurrence dans la gestion des vérificateurs PKCE et des jetons d'accès au sein des implémentations OAuth (GenericOAuthService, GithubOAuthService, GoogleOAuthService). Si deux utilisateurs tentent de se connecter avec le même fournisseur OAuth simultanément, une exécution malveillante peut intercepter et utiliser les informations d'authentification de l'autre utilisateur, obtenant ainsi un accès non autorisé à son compte. Le score CVSS de 7,7 indique un risque moyen à élevé.
L'exploitation de cette vulnérabilité nécessite un environnement où plusieurs utilisateurs tentent de se connecter avec le même fournisseur OAuth presque simultanément. Un attaquant pourrait simuler ce scénario en utilisant une attaque par déni de service distribué (DDoS) ou en créant plusieurs sessions de connexion concurrentes. La probabilité de succès dépend de la charge du serveur et de la synchronisation précise des attaques. La vulnérabilité est particulièrement préoccupante dans les environnements à fort volume de trafic de connexion OAuth.
Applications utilizing the tinyauth library for OAuth authentication are at risk. This includes Go-based applications that rely on tinyauth for handling OAuth flows, particularly those deployed in environments with high user concurrency or shared hosting configurations where multiple users might share resources.
• linux / server: Monitor application logs for unusual login patterns or session activity. Specifically, look for multiple logins from the same IP address within a short timeframe.
journalctl -u tinyauth -f | grep "session" | grep "race condition"• generic web: Examine access logs for requests to OAuth endpoints originating from the same IP address but associated with different user accounts within a short time window.
grep "oauth/callback" /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 14%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à niveau vers la version 1.0.1-0.20260401140714-fc1d4f2082a5 de tinyauth. Cette version corrige la condition de concurrence en mettant en œuvre des mécanismes de synchronisation appropriés pour protéger l'accès concurrentiel aux données OAuth sensibles. Il est recommandé d'appliquer cette mise à jour dès que possible afin d'atténuer le risque d'usurpation d'identité. De plus, examinez les configurations OAuth pour vous assurer que les meilleures pratiques de sécurité sont utilisées, telles que la limitation du débit et la mise en œuvre de l'authentification multifacteur.
Actualice Tinyauth a la versión 5.0.5 o superior. Esta versión corrige una condición de carrera que podría permitir que un usuario reciba una sesión con la identidad de otro usuario durante el inicio de sesión de OAuth.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
PKCE (Proof Key for Code Exchange) est une extension d'OAuth 2.0 qui améliore la sécurité en protégeant contre les attaques d'interception de code d'autorisation.
La mise à niveau est essentielle pour prévenir l'usurpation d'identité et protéger les données des utilisateurs. Ne pas mettre à niveau laisse les systèmes vulnérables aux attaques.
Si la mise à niveau immédiate n'est pas possible, envisagez de mettre en œuvre des mesures d'atténuation temporaires, telles que la limitation des demandes de connexion OAuth et la surveillance de l'activité suspecte.
Vérifiez la version de tinyauth que vous utilisez. Si elle est antérieure à 1.0.1-0.20260401140714-fc1d4f2082a5, il est probable que vous soyez affecté.
Actuellement, il n'existe pas d'outils spécifiques pour détecter l'exploitation de cette vulnérabilité. Il est recommandé de surveiller les journaux du serveur à la recherche de schémas de connexion inhabituels.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.