Vulnerabilità: CVE-2020-26254

omniauth-mela è la strategia OmniAuth per ""Accedi con Apple"" (rubygem omniauth-Apple). In omniauth-mela prima versione 1.0.1 Gli aggressori possono falsificare il loro indirizzo di posta elettronica durante l’autenticazione. Ciò influisce vulnerabilità applicazioni che utilizzano la strategia omniauth-mela di OmniAuth e utilizzando il campo di info.email di OmniAuth Auth Hash schema per ogni tipo di identificazione. Il valore di questo campo può essere impostato su qualsiasi valore della scelta dell’attaccante compresi gli indirizzi email di altri utenti. Le applicazioni non utilizzando info.email per identificazione, ma sono invece utilizzando il campo uid non sono influenzati nello stesso modo. Nota, queste applicazioni potrebbero ancora essere influenzate negativamente se il valore di info.email viene utilizzato per altri scopi. Le applicazioni che utilizzano versioni interessate di omniauth-mela si consiglia di eseguire l’aggiornamento alla versione omniauth-apple 1.0.1 o successiva.


https://github.com/nhosoya/omniauth-apple/security/advisories/GHSA-49r3-2549-3633
https://github.com/nhosoya/omniauth-apple/security/advisories/GHSA-49r3-2549-3633
https://github.com/nhosoya/omniauth-apple/blob/master/CHANGELOG.md#101—2020-12-03
https://github.com/nhosoya/omniauth-apple/blob/master/CHANGELOG.md#101—2020-12-03
https://github.com/nhosoya/omniauth-apple/commit/b37d5409213adae2ca06a67fec14c8d3d07d9016
https://github.com/nhosoya/omniauth-apple/commit/b37d5409213adae2ca06a67fec14c8d3d07d9016
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26254


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi