CVE-2023-50708 in yii2-authclient
Tóm tắt
Bởi VulDB • 17/07/2026
yii2-authclient là một tiện ích mở rộng thêm các trình tiêu thụ OpenID, OAuth, OAuth2 và OpenId Connect cho framework Yii phiên bản 2.0. Trong yii2-authclient trước phiên bản 2.2.15, tham số `state` của Oauth1/2 và `nonce` của OpenID Connect dễ bị tấn công bởi một cuộc tấn công thời gian (`timing attack`) do việc so sánh được thực hiện thông qua phép so sánh chuỗi thông thường (thay vì sử dụng `Yii::$app->getSecurity()->compareString()`). Phiên bản 2.2.15 chứa bản vá cho sự cố này. Không có các giải pháp tạm thời nào đã biết.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.