CVE-2020-26254 in omniauth-apple Geminformação

Sumário

de VulDB • 12/07/2026

omniauth-apple é a estratégia OmniAuth para o "Sign In with Apple" (RubyGem omniauth-apple). No omniauth-apple anterior à versão 1.0.1, os atacantes podem falsificar seu endereço de e-mail durante a autenticação. Esta vulnerabilidade afeta aplicativos que utilizam a estratégia omniauth-apple do OmniAuth e o campo info.email do Auth Hash Schema do OmniAuth para qualquer tipo de identificação. O valor deste campo pode ser definido como qualquer valor escolhido pelo atacante, incluindo endereços de e-mail de outros usuários. Aplicativos que não usam info.email para identificação, mas sim o campo uid, não são afetados da mesma maneira. Observe que esses aplicativos ainda podem ser negativamente impactados se o valor do info.email estiver sendo usado para outros fins. Aplicações que utilizam versões afetadas do omniauth-apple devem atualizar para a versão 1.0.1 ou posterior.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

GitHub, Inc.

Reservar

01/10/2020

Divulgação

09/12/2020

Moderação

aceite

Entrada

VDB-165785

CPE

pronto

EPSS

0.01322

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!