प्लेटफ़ॉर्म
go
घटक
github.com/steveiliop56/tinyauth
में ठीक किया गया
5.0.6
1.0.1-0.20260401140714-fc1d4f2082a5
CVE-2026-33544 Tinyauth में एक भेद्यता है, जो OAuth सेवा कार्यान्वयन में रेस कंडीशन के कारण होती है। इसका मतलब है कि दो उपयोगकर्ता एक ही समय में लॉग इन करने का प्रयास करते हैं, तो एक उपयोगकर्ता को दूसरे उपयोगकर्ता की पहचान मिल सकती है। यह भेद्यता 5.0.5 से पहले के संस्करणों को प्रभावित करती है। संस्करण 5.0.5 में इस समस्या को ठीक कर दिया गया है।
CVE-2026-33544 tinyauth में, कुछ परिस्थितियों में, एक हमलावर किसी अन्य उपयोगकर्ता के रूप में OAuth लॉगिन करने में सक्षम हो सकता है। यह OAuth कार्यान्वयनों (GenericOAuthService, GithubOAuthService, GoogleOAuthService) के भीतर PKCE सत्यापनकर्ताओं और एक्सेस टोकन के प्रबंधन में एक रेस कंडीशन के कारण है। यदि दो उपयोगकर्ता एक साथ समान OAuth प्रदाता के साथ लॉग इन करने का प्रयास करते हैं, तो एक दुर्भावनापूर्ण निष्पादन दूसरे उपयोगकर्ता की प्रमाणीकरण जानकारी को रोक सकता है और उसका उपयोग कर सकता है, जिससे उसके खाते तक अनधिकृत पहुंच प्राप्त हो सकती है। CVSS स्कोर 7.7 है, जो मध्यम से उच्च जोखिम दर्शाता है।
इस भेद्यता का शोषण करने के लिए एक ऐसे वातावरण की आवश्यकता होती है जहां कई उपयोगकर्ता लगभग एक साथ समान OAuth प्रदाता के साथ लॉग इन करने का प्रयास करते हैं। एक हमलावर एक वितरित सेवा से इनकार (DDoS) हमले का उपयोग करके या कई समवर्ती लॉगिन सत्र बनाकर इस परिदृश्य का अनुकरण कर सकता है। सफलता की संभावना सर्वर लोड और हमलों के सटीक सिंक्रनाइज़ेशन पर निर्भर करती है। OAuth लॉगिन ट्रैफ़िक की मात्रा अधिक होने वाले वातावरण में यह भेद्यता विशेष रूप से चिंताजनक है।
Applications utilizing the tinyauth library for OAuth authentication are at risk. This includes Go-based applications that rely on tinyauth for handling OAuth flows, particularly those deployed in environments with high user concurrency or shared hosting configurations where multiple users might share resources.
• linux / server: Monitor application logs for unusual login patterns or session activity. Specifically, look for multiple logins from the same IP address within a short timeframe.
journalctl -u tinyauth -f | grep "session" | grep "race condition"• generic web: Examine access logs for requests to OAuth endpoints originating from the same IP address but associated with different user accounts within a short time window.
grep "oauth/callback" /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (14% शतमक)
CISA SSVC
CVSS वेक्टर
अनुशंसित समाधान tinyauth को संस्करण 1.0.1-0.20260401140714-fc1d4f2082a5 में अपग्रेड करना है। यह संस्करण संवेदनशील OAuth डेटा तक समवर्ती पहुंच की सुरक्षा के लिए उपयुक्त सिंक्रनाइज़ेशन तंत्र को लागू करके रेस कंडीशन को ठीक करता है। पहचान की चोरी के जोखिम को कम करने के लिए इस अपडेट को जल्द से जल्द लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, सर्वोत्तम सुरक्षा प्रथाओं, जैसे कि दर सीमित करना और बहु-कारक प्रमाणीकरण के कार्यान्वयन को सुनिश्चित करने के लिए OAuth कॉन्फ़िगरेशन की समीक्षा करें।
Actualice Tinyauth a la versión 5.0.5 o superior. Esta versión corrige una condición de carrera que podría permitir que un usuario reciba una sesión con la identidad de otro usuario durante el inicio de sesión de OAuth.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
PKCE (प्रूफ की फॉर कोड एक्सचेंज) OAuth 2.0 का एक विस्तार है जो प्राधिकरण कोड इंटरसेप्शन हमलों को रोककर सुरक्षा में सुधार करता है।
पहचान की चोरी को रोकने और उपयोगकर्ता डेटा की सुरक्षा के लिए अपडेट महत्वपूर्ण है। अपडेट करने में विफल रहने से सिस्टम हमलों के प्रति संवेदनशील हो जाते हैं।
यदि तत्काल अपडेट संभव नहीं है, तो OAuth लॉगिन अनुरोधों को सीमित करने और संदिग्ध गतिविधि की निगरानी करने जैसे अस्थायी शमन उपायों पर विचार करें।
आप जिस tinyauth संस्करण का उपयोग कर रहे हैं, उसकी जांच करें। यदि संस्करण 1.0.1-0.20260401140714-fc1d4f2082a5 से पहले का है, तो आप संभवतः प्रभावित हैं।
वर्तमान में इस भेद्यता के शोषण का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है। सर्वर लॉग की निगरानी करना असामान्य लॉगिन पैटर्न के लिए अनुशंसित है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।