Tinyauth présente une confusion de compte OAuth via un état mutable partagé sur des instances de service singleton

Tinyauth est un serveur d'authentification et d'autorisation. Avant la version 5.0.5, les trois implémentations de service OAuth (GenericOAuthService, GithubOAuthService, GoogleOAuthService) stockent les vérificateurs PKCE et les jetons d'accès en tant que champs de structure mutables sur des instances singleton partagées entre toutes les requêtes simultanées. Lorsque deux utilisateurs lancent une connexion OAuth pour le même fournisseur simultanément, une condition de concurrence entre VerifyCode() et Userinfo() fait qu'un utilisateur reçoit une session avec l'identité de l'autre utilisateur. Ce problème a été corrigé dans la version 5.0.5.