CVE-2020-26254 in omniauth-apple Gem情報

要約

〜によって VulDB • 2026年07月03日

omniauth-appleは、「Sign In with Apple」用のOmniAuthストラテジー(RubyGem: omniauth-apple)です。バージョン1.0.1以前のomniauth-appleでは、攻撃者が認証時にメールアドレスを偽造することができます。この脆弱性は、OmniAuthのomniauth-auth戦略を使用し、かつ OmniAuthの Auth Hash Schema の info.email フィールドを使用して何らかの識別を行っているアプリケーションに影響を与えます。このフィールドの値は、他のユーザーのメールアドレスを含む、攻撃者が選択した任意の値に設定される可能性があります。info.email ではなく uid フィールドを識別のために使用しているアプリケーションは、同様の影響を受けません。ただし、これらのアプリケーションでも info.email の値がその他の目的で使用されている場合、悪影響を受ける可能性があります。影響を受けるバージョンのomniauth-appleを使用しているアプリケーションでは、omniauth-apple バージョン1.0.1以降へのアップグレードをお勧めします。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

GitHub, Inc.

予約する

2020年10月01日

モデレーション

承諾済み

エントリ

VDB-165785

EPSS

0.01322

アクティビティ

非常低い

セクター

Telecommunication

ソース

Want to know what is going to be exploited?

We predict KEV entries!