プラットフォーム
go
コンポーネント
github.com/steveiliop56/tinyauth
修正版
5.0.6
1.0.1-0.20260401140714-fc1d4f2082a5
Tinyauthは認証・認可サーバーです。バージョン5.0.5未満では、OAuthサービス実装に競合状態が存在し、異なるユーザーのIDが混同される可能性があります。これは、複数のユーザーが同時にOAuthログインを試みた場合に発生します。バージョン5.0.5でこの問題は修正されました。
CVE-2026-33544 は、tinyauth において、特定の状況下で攻撃者が別のユーザーになりすますことを可能にする脆弱性です。これは、OAuth 実装 (GenericOAuthService, GithubOAuthService, GoogleOAuthService) 内の PKCE 検証子とアクセストークンの処理における競合状態が原因です。2 人のユーザーが同時に同じ OAuth プロバイダーでログインを試みると、悪意のある実行が他のユーザーの認証情報を傍受し利用することで、そのユーザーのアカウントへの不正アクセスを可能にする可能性があります。CVSS スコアは 7.7 で、中程度から高リスクを示しています。
この脆弱性の悪用には、複数のユーザーがほぼ同時に同じ OAuth プロバイダーでログインを試みる環境が必要です。攻撃者は、分散型サービス拒否 (DDoS) 攻撃を使用するか、複数の同時ログインセッションを作成することで、このシナリオをシミュレートできます。成功の確率は、サーバーの負荷と攻撃の正確な同期に依存します。この脆弱性は、OAuth ログイントラフィックのボリュームが多い環境で特に懸念されます。
Applications utilizing the tinyauth library for OAuth authentication are at risk. This includes Go-based applications that rely on tinyauth for handling OAuth flows, particularly those deployed in environments with high user concurrency or shared hosting configurations where multiple users might share resources.
• linux / server: Monitor application logs for unusual login patterns or session activity. Specifically, look for multiple logins from the same IP address within a short timeframe.
journalctl -u tinyauth -f | grep "session" | grep "race condition"• generic web: Examine access logs for requests to OAuth endpoints originating from the same IP address but associated with different user accounts within a short time window.
grep "oauth/callback" /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10disclosure
エクスプロイト状況
EPSS
0.05% (14% パーセンタイル)
CISA SSVC
推奨される解決策は、tinyauth をバージョン 1.0.1-0.20260401140714-fc1d4f2082a5 にアップグレードすることです。このバージョンは、OAuth データの機密アクセスを保護するための適切な同期メカニズムを実装することで、競合状態を修正します。このアップデートをできるだけ早く適用して、なりすましのリスクを軽減することをお勧めします。さらに、レート制限や多要素認証の実装など、セキュリティのベストプラクティスが利用されていることを確認するために、OAuth 設定を確認してください。
Actualice Tinyauth a la versión 5.0.5 o superior. Esta versión corrige una condición de carrera que podría permitir que un usuario reciba una sesión con la identidad de otro usuario durante el inicio de sesión de OAuth.
脆弱性分析と重要アラートをメールでお届けします。
PKCE (Proof Key for Code Exchange) は、OAuth 2.0 の拡張機能であり、認可コードの傍受攻撃を防ぐことで、セキュリティを向上させます。
アップデートは、なりすましを防ぎ、ユーザーデータを保護するために不可欠です。アップデートしないと、システムが攻撃に対して脆弱になります。
すぐにアップデートできない場合は、OAuth ログインリクエストの制限や疑わしいアクティビティの監視など、一時的な軽減策を検討してください。
使用している tinyauth のバージョンを確認してください。バージョンが 1.0.1-0.20260401140714-fc1d4f2082a5 より古い場合は、影響を受けている可能性があります。
現在、この脆弱性の悪用を検出するための特定のツールはありません。サーバーログを異常なログインパターンがないか監視することをお勧めします。
CVSS ベクトル
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。