Vulnerabilidad en Duende.AccessTokenManagement.OpenIdConnect (CVE-2024-51987)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/11/2024
Última modificación:
08/11/2024
Descripción
Duende.AccessTokenManagement.OpenIdConnect es un conjunto de librerías .NET que administran tokens de acceso de OAuth y OpenId Connect. Los clientes HTTP creados por `AddUserAccessTokenHttpClient` pueden usar el token de acceso de un usuario diferente después de que se actualice el token. Esto ocurre porque un token actualizado se capturará en instancias `HttpClient` agrupadas, que pueden ser utilizadas por un usuario diferente. En lugar de usar `AddUserAccessTokenHttpClient` para crear un `HttpClient` que agregue automáticamente un token administrado a las solicitudes salientes, puede usar el método de extensión `HttpConext.GetUserAccessTokenAsync` o el método `IUserTokenManagementService.GetAccessTokenAsync`. Este problema se solucionó en Duende.AccessTokenManagement.OpenIdConnect 3.0.1. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA