CVE-2023-50708 in yii2-authclientinformation

Résumé

par VulDB • 15/07/2026

yii2-authclient est une extension qui ajoute des consommateurs OpenID, OAuth, OAuth2 et OpenId Connect pour le framework Yii 2.0. Dans yii2-authclient antérieur à la version 2.2.15, les paramètres `state` de Oauth1/2 et `nonce` d'OpenID Connect sont vulnérables à une attaque par chronométrage (`timing attack`) car ils sont comparés via une comparaison de chaînes standard (au lieu d'utiliser `Yii::$app->getSecurity()->compareString()`). La version 2.2.15 contient un correctif pour ce problème. Aucune solution de contournement connue n'est disponible.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub, Inc.

Réserver

11/12/2023

Divulgation

22/12/2023

Modérer

accepté

Entrée

VDB-248326

CPE

prêt

EPSS

0.00716

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!