le soutien PKCe ne sont pas mis en œuvre conformément à la RFC pour OAuth 2.0 pour les applications natives. Sans l’utilisation de PKCe, le code d’autorisation renvoyé par un serveur d’autorisation ne suffit pas de garantie que le client qui a émis la demande d’autorisation initiale est celle qui sera autorisée. Un attaquant est en mesure d’obtenir le code d’autorisation à l’aide d’une application malveillante sur le côté client et l’utiliser pour obtenir l’autorisation de la ressource protégée. Cela affecte le paquet com.google.oauth-client: google-oauth-client avant 1.31.0.
https://github.com/googleapis/google-oauth-java-client/commit/13433cd7dd06267fc261f0b1d4764f8e3432c824
https://github.com/googleapis/google-oauth-java-client/commit/13433cd7dd06267fc261f0b1d4764f8e3432c824
https://github.com/googleapis/google-oauth-java-client/issues/469
https://github.com/googleapis/google-oauth-java-client/issues/469
https://snyk.io/vuln/SNYK-JAVA-COMGOOGLEOAUTHCLIENT-575276
https://snyk.io/vuln/SNYK-JAVA-COMGOOGLEOAUTHCLIENT-575276
https://tools.ietf.org/html/rfc7636%23section-1
https://tools.ietf.org/html/rfc7636%23section-1
https://tools.ietf.org/html/rfc8252%23section-8.1
https://tools.ietf.org/html/rfc8252%23section-8.1
https://lists.apache.org/thread.html/r3db6ac73e0558d64f0b664f2fa4ef0a865e57c5de20f8321d3b48678@%3Ccommits.druid.apache.org%3E
https://lists.apache.org/thread.html/reae8909b264d1103f321b9ce1623c10c1ddc77dba9790247f2c0c90f@%3Ccommits.druid.apache.org%3E
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7692
