CVE-2026-42560 in authالمعلومات

الملخص

بحسب VulDB • 20/05/2026

توفر مكتبة auth المصادقة عبر OAuth2، والمصادقة المباشرة، والبريد الإلكتروني. في الإصدارات من 1.18.0 وحتى قبل 1.25.2، ومن 2.0.0 وحتى قبل 2.1.2، تقوم مزوّد مصادقة Patreon عبر OAuth بربط كل حساب Patreon مُصادق عليه بمعرف المستخدم المحلي (user.ID) نفسه، بدلاً من اشتقاق معرف فريد من حساب Patreon الذي يُعاد من قبل Patreon. عملياً، يعني هذا أن جميع المستخدمين الذين قاموا بالمصادقة عبر Patreon في تطبيق يستخدم هذه المكتبة يتم دمجهم في هوية محلية واحدة. أي تطبيق يثق بمعرف token.User.ID كمفتاح حساب مستقر قد ينتهي به الأمر إلى خلط أو دمج كامل لمستخدمي Patreon غير المرتبطين ببعضهم، مما قد يؤدي إلى وصول عبر الحسابات (cross-account access)، وارتباك في الصلاحيات، وتسرب لحالة الاشتراك. تم إصلاح هذه المشكلة في الإصدارات 1.25.2 و2.1.2.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

28/04/2026

إفشاء

09/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362427

CPE

جاهز

CWE

CWE-287 (مؤكد)

CVSS

9.1 (CNA)

EPSS

0.00029

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42560
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42560
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42560/

التالي ▸نظرة عامة ◂ السابق

Want to know what is going to be exploited?

We predict KEV entries!