CVE-2026-41213
@node-oauth/oauth2-server: PKCE code_verifier ABNF not enforced in token exchange allows brute-force redemption of intercepted authorization codes
Em resumo
Uma biblioteca OAuth2 para Node.js não valida corretamente os valores de code_verifier do PKCE durante a troca de tokens, permitindo que atacantes façam força bruta em códigos de autorização interceptados em vez de rejeitar verificadores inválidos imediatamente.
Detalhe técnico
A biblioteca aceita valores de code_verifier inválidos conforme RFC7636 (incluindo strings de um caractere) em fluxos S256 PKCE sem validação apropriada de ABNF. Um atacante que intercepte um código de autorização pode realizar ataques de força bruta online, já que tentativas falhadas não consomem o código, permitindo emissão de token sem o code_challenge legítimo.
Resumo gerado e traduzido por IA a partir da descrição oficial.
@node-oauth/oauth2-server is a module for implementing an OAuth2 server in Node.js. The token exchange path accepts RFC7636-invalid code_verifier values (including one-character strings) for S256 PKCE flows. Because short/weak verifiers are accepted and failed verifier attempts do not consume the authorization code, an attacker who intercepts an authorization code can brute-force code_verifier guesses online until token issuance succeeds.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
node-oauth · node-oauth2-serverQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →