CVE-2026-33544：Tinyauth < 5.0.5 OAuth 身份验证漏洞

CVE-2026-33544 在 tinyauth 中，在特定情况下，攻击者可能冒充另一用户进行 OAuth 登录。这是由于 OAuth 实现（GenericOAuthService、GithubOAuthService、GoogleOAuthService）中 PKCE 验证器和访问令牌的处理存在竞争条件造成的。如果两个用户同时尝试使用相同的 OAuth 提供商登录，恶意执行可能会拦截并使用另一用户的身份验证信息，从而获得对其帐户的未经授权的访问。CVSS 分数为 7.7，表明中高风险。

Applications utilizing the tinyauth library for OAuth authentication are at risk. This includes Go-based applications that rely on tinyauth for handling OAuth flows, particularly those deployed in environments with high user concurrency or shared hosting configurations where multiple users might share resources.

• linux / server: Monitor application logs for unusual login patterns or session activity. Specifically, look for multiple logins from the same IP address within a short timeframe.

journalctl -u tinyauth -f | grep "session" | grep "race condition"

• generic web: Examine access logs for requests to OAuth endpoints originating from the same IP address but associated with different user accounts within a short time window.

grep "oauth/callback" /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10

1. 2026-04-01Disclosure

   disclosure

1. 已保留2026-03-20
2. 发布日期2026-04-01
3. 修改日期2026-04-06
4. EPSS 更新日期2026-04-10

建议的解决方案是将 tinyauth 升级到版本 1.0.1-0.20260401140714-fc1d4f2082a5。此版本通过实现适当的同步机制来纠正竞争条件，以保护对敏感 OAuth 数据的并发访问。建议尽快应用此更新，以降低身份冒充的风险。此外，请审查 OAuth 配置，以确保使用最佳安全实践，例如速率限制和多因素身份验证的实施。