Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Duende.AccessTokenManagement.OpenIdConnect (CVE-2024-51987)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/11/2024
Última modificación:
08/11/2024

Descripción

Duende.AccessTokenManagement.OpenIdConnect es un conjunto de librerías .NET que administran tokens de acceso de OAuth y OpenId Connect. Los clientes HTTP creados por `AddUserAccessTokenHttpClient` pueden usar el token de acceso de un usuario diferente después de que se actualice el token. Esto ocurre porque un token actualizado se capturará en instancias `HttpClient` agrupadas, que pueden ser utilizadas por un usuario diferente. En lugar de usar `AddUserAccessTokenHttpClient` para crear un `HttpClient` que agregue automáticamente un token administrado a las solicitudes salientes, puede usar el método de extensión `HttpConext.GetUserAccessTokenAsync` o el método `IUserTokenManagementService.GetAccessTokenAsync`. Este problema se solucionó en Duende.AccessTokenManagement.OpenIdConnect 3.0.1. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.