CVE-2023-50708 in yii2-authclient
Sumário
de VulDB • 16/07/2026
yii2-authclient è un'estensione che aggiunge consumatori OpenID, OAuth, OAuth2 e OpenId Connect per il framework Yii 2.0. In yii2-authclient precedente alla versione 2.2.15, i parametri `state` di Oauth1/2 e `nonce` di OpenID Connect sono vulnerabili a un `timing attack`, poiché vengono confrontati tramite una normale string comparison (invece che utilizzando `Yii::$app->getSecurity()->compareString()`). La versione 2.2.15 contiene la patch per il problema. Non sono disponibili workaround noti.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.