Plataforma
go
Componente
github.com/steveiliop56/tinyauth
Corrigido em
5.0.6
1.0.1-0.20260401140714-fc1d4f2082a5
CVE-2026-33544 descreve uma vulnerabilidade de race condition no tinyauth. Essa falha permite que um usuário receba uma sessão com a identidade de outro usuário durante logins OAuth simultâneos. Afeta versões anteriores à 5.0.5. A vulnerabilidade foi corrigida na versão 5.0.5.
A vulnerabilidade CVE-2026-33544 no tinyauth permite que um atacante, sob certas circunstâncias, se passe por outro usuário durante o processo de login OAuth. Isso ocorre devido a uma condição de corrida no tratamento de verificadores PKCE e tokens de acesso dentro das implementações OAuth (GenericOAuthService, GithubOAuthService, GoogleOAuthService). Se dois usuários tentarem fazer login com o mesmo provedor OAuth simultaneamente, uma execução maliciosa pode interceptar e utilizar as informações de autenticação do outro usuário, obtendo acesso não autorizado à sua conta. A pontuação CVSS de 7.7 indica um risco médio-alto.
A exploração desta vulnerabilidade requer um ambiente onde vários usuários tentem fazer login com o mesmo provedor OAuth quase simultaneamente. Um atacante pode simular este cenário usando um ataque de negação de serviço distribuído (DDoS) ou criando várias sessões de login concorrentes. A probabilidade de sucesso depende da carga do servidor e da sincronização precisa dos ataques. A vulnerabilidade é particularmente preocupante em ambientes com um alto volume de tráfego de login OAuth.
Applications utilizing the tinyauth library for OAuth authentication are at risk. This includes Go-based applications that rely on tinyauth for handling OAuth flows, particularly those deployed in environments with high user concurrency or shared hosting configurations where multiple users might share resources.
• linux / server: Monitor application logs for unusual login patterns or session activity. Specifically, look for multiple logins from the same IP address within a short timeframe.
journalctl -u tinyauth -f | grep "session" | grep "race condition"• generic web: Examine access logs for requests to OAuth endpoints originating from the same IP address but associated with different user accounts within a short time window.
grep "oauth/callback" /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10disclosure
Status do Exploit
EPSS
0.05% (percentil 14%)
CISA SSVC
Vetor CVSS
A solução recomendada é atualizar para a versão 1.0.1-0.20260401140714-fc1d4f2082a5 do tinyauth. Esta versão corrige a condição de corrida implementando mecanismos de sincronização adequados para proteger o acesso concorrente aos dados sensíveis do OAuth. Recomenda-se aplicar esta atualização o mais rápido possível para mitigar o risco de suposta identidade. Além disso, recomenda-se rever as configurações do OAuth para garantir que as melhores práticas de segurança estejam sendo utilizadas, como a limitação de taxa e a implementação de autenticação multifator.
Actualice Tinyauth a la versión 5.0.5 o superior. Esta versión corrige una condición de carrera que podría permitir que un usuario reciba una sesión con la identidad de otro usuario durante el inicio de sesión de OAuth.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
PKCE (Proof Key for Code Exchange) é uma extensão do OAuth 2.0 que melhora a segurança protegendo contra ataques de interceptação de código de autorização.
A atualização é crucial para evitar a suposta identidade e proteger os dados do usuário. Não atualizar deixa os sistemas vulneráveis a ataques.
Se a atualização imediata não for possível, considere implementar medidas de mitigação temporárias, como limitar as solicitações de login OAuth e monitorar atividades suspeitas.
Verifique a versão do tinyauth que você está usando. Se for anterior a 1.0.1-0.20260401140714-fc1d4f2082a5, é provável que esteja afetado.
Atualmente, não existem ferramentas específicas para detectar a exploração desta vulnerabilidade. Recomenda-se monitorar os logs do servidor em busca de padrões de login incomuns.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.