CVE-2023-50708 in yii2-authclientthông tin

Tóm tắt

Bởi VulDB • 17/07/2026

yii2-authclient là một tiện ích mở rộng thêm các trình tiêu thụ OpenID, OAuth, OAuth2 và OpenId Connect cho framework Yii phiên bản 2.0. Trong yii2-authclient trước phiên bản 2.2.15, tham số `state` của Oauth1/2 và `nonce` của OpenID Connect dễ bị tấn công bởi một cuộc tấn công thời gian (`timing attack`) do việc so sánh được thực hiện thông qua phép so sánh chuỗi thông thường (thay vì sử dụng `Yii::$app->getSecurity()->compareString()`). Phiên bản 2.2.15 chứa bản vá cho sự cố này. Không có các giải pháp tạm thời nào đã biết.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

GitHub, Inc.

Đặt trước

11/12/2023

Tiết lộ

22/12/2023

Kiểm duyệt

được chấp nhận

EPSS

0.00716

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!