CVE-2020-15234
Redirect URL matching ignores character casing
En resumen
ORY Fosite no comparaba correctamente las URLs de redirección de OAuth2, ignorando la diferencia entre mayúsculas y minúsculas. Un atacante podía registrar una URL legítima y luego usar una versión con capitalización diferente para eludir la validación y robar credenciales de autenticación.
Detalle técnico
Fosite v0.34.0 y anteriores realizan validación insensible a mayúsculas/minúsculas de URLs de redirección mediante strings.ToLower(), eludiendo la verificación (CWE-601). Un atacante con privilegios de registro de cliente puede registrar una URL benigna y proporcionar una variante con capitalización diferente durante el flujo OAuth2 para redirigir al usuario a un endpoint no validado, capturando potencialmente códigos de autorización o tokens.
Resumen generado y traducido por IA a partir de la descripción oficial.
ORY Fosite is a security first OAuth2 & OpenID Connect framework for Go. In Fosite before version 0.34.1, the OAuth 2.0 Client's registered redirect URLs and the redirect URL provided at the OAuth2 Authorization Endpoint where compared using strings.ToLower while they should have been compared with a simple string match. This allows an attacker to register a client with allowed redirect URL https://example.com/callback. Then perform an OAuth2 flow and requesting redirect URL https://example.com/CALLBACK. Instead of an error (invalid redirect URL), the browser is redirected to https://example.com/CALLBACK with a potentially successful OAuth2 response, depending on the state of the overall OAuth2 flow (the user might still deny the request for example). This vulnerability has been patched in ORY Fosite v0.34.1.
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:N