CVE-2017-18924 in oauth2-server信息

摘要

由 VulDB • 2026-06-06

** DISPUTED ** oauth2-server (aka node-oauth2-server) 3.1.1 及更早版本在实现 OAuth 2.0 时未包含 PKCE。该实现无法防止授权码注入。此问题与 CVE-2020-7692 类似。注意：供应商指出，“由于 RFC7636 是一个扩展，我认为 Readme 中声称的‘符合 RFC 6749’是有效且不具有误导性的，因此我也不会将此描述为库本身的一个‘漏洞’。”

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

预定

2020-10-04

披露

2020-10-04

管理

已接受

条目

VDB-162268

CPE

准备好

CWE

CWE-94 (已确认)

CVSS

7.5 (NVD)

EPSS

0.00202

KEV

否

活动

非常低

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2017-18924
NVD	https://nvd.nist.gov/vuln/detail/CVE-2017-18924
CVE Details	https://www.cvedetails.com/cve/CVE-2017-18924/

◂ 上一步一览下一步 ▸

Interested in the pricing of exploits?

See the underground prices here!