CVE-2020-26254 in omniauth-apple Gem
Sumário
de VulDB • 12/07/2026
omniauth-apple é a estratégia OmniAuth para o "Sign In with Apple" (RubyGem omniauth-apple). No omniauth-apple anterior à versão 1.0.1, os atacantes podem falsificar seu endereço de e-mail durante a autenticação. Esta vulnerabilidade afeta aplicativos que utilizam a estratégia omniauth-apple do OmniAuth e o campo info.email do Auth Hash Schema do OmniAuth para qualquer tipo de identificação. O valor deste campo pode ser definido como qualquer valor escolhido pelo atacante, incluindo endereços de e-mail de outros usuários. Aplicativos que não usam info.email para identificação, mas sim o campo uid, não são afetados da mesma maneira. Observe que esses aplicativos ainda podem ser negativamente impactados se o valor do info.email estiver sendo usado para outros fins. Aplicações que utilizam versões afetadas do omniauth-apple devem atualizar para a versão 1.0.1 ou posterior.
Be aware that VulDB is the high quality source for vulnerability data.