Tinyauth heeft OAuth accountverwarring via gedeelde mutable state op singleton service instances

CVE-2026-33544 in tinyauth stelt een aanvaller in staat, onder bepaalde omstandigheden, de identiteit van een andere gebruiker te aannemen tijdens het OAuth-aanmeldproces. Dit komt door een race condition in de verwerking van PKCE-verifieerders en toegangstokens binnen de OAuth-implementaties (GenericOAuthService, GithubOAuthService, GoogleOAuthService). Als twee gebruikers tegelijkertijd proberen in te loggen met dezelfde OAuth-provider, kan een kwaadwillende uitvoering de authenticatiegegevens van de andere gebruiker onderscheppen en gebruiken, waardoor ongeautoriseerde toegang tot hun account wordt verkregen. De CVSS-score van 7.7 duidt op een gemiddeld tot hoog risico.

Applications utilizing the tinyauth library for OAuth authentication are at risk. This includes Go-based applications that rely on tinyauth for handling OAuth flows, particularly those deployed in environments with high user concurrency or shared hosting configurations where multiple users might share resources.

• linux / server: Monitor application logs for unusual login patterns or session activity. Specifically, look for multiple logins from the same IP address within a short timeframe.

journalctl -u tinyauth -f | grep "session" | grep "race condition"

• generic web: Examine access logs for requests to OAuth endpoints originating from the same IP address but associated with different user accounts within a short time window.

grep "oauth/callback" /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10

1. 2026-04-01Disclosure

   disclosure

1. Gereserveerd2026-03-20
2. Gepubliceerd2026-04-01
3. Gewijzigd2026-04-06
4. EPSS bijgewerkt2026-04-10

De aanbevolen oplossing is om te upgraden naar versie 1.0.1-0.20260401140714-fc1d4f2082a5 van tinyauth. Deze versie corrigeert de race condition door geschikte synchronisatiemechanismen te implementeren om de gelijktijdige toegang tot gevoelige OAuth-gegevens te beschermen. Het wordt aanbevolen om deze update zo snel mogelijk toe te passen om het risico van identiteitsfraude te beperken. Controleer bovendien de OAuth-configuraties om ervoor te zorgen dat best practices op het gebied van beveiliging worden toegepast, zoals rate limiting en de implementatie van multi-factor authenticatie.