Tinyauth heeft OAuth accountverwarring via gedeelde mutable state op singleton service instances

Tinyauth is een authenticatie- en autorisatieserver. Voor versie 5.0.5 slaan alle drie de OAuth service implementaties (GenericOAuthService, GithubOAuthService, GoogleOAuthService) PKCE verifiers en access tokens op als mutable struct velden op singleton instances die worden gedeeld over alle gelijktijdige verzoeken. Wanneer twee gebruikers gelijktijdig OAuth login initiëren voor dezelfde provider, veroorzaakt een race condition tussen VerifyCode() en Userinfo() dat één gebruiker een sessie ontvangt met de identiteit van de andere gebruiker. Dit probleem is verholpen in versie 5.0.5.