CVE-2026-41213
@node-oauth/oauth2-server: PKCE code_verifier ABNF not enforced in token exchange allows brute-force redemption of intercepted authorization codes
En resumen
Una biblioteca OAuth2 para Node.js no valida correctamente los valores de code_verifier de PKCE durante el intercambio de tokens, permitiendo que atacantes realicen ataques de fuerza bruta contra códigos de autorización interceptados.
Detalle técnico
La biblioteca acepta valores de code_verifier inválidos según RFC7636 (incluyendo cadenas de un carácter) en flujos S256 PKCE sin validación adecuada de ABNF. Un atacante que intercepte un código de autorización puede realizar ataques de fuerza bruta en línea, ya que los intentos fallidos no consumen el código, permitiendo la emisión de token sin el code_challenge legítimo.
Resumen generado y traducido por IA a partir de la descripción oficial.
@node-oauth/oauth2-server is a module for implementing an OAuth2 server in Node.js. The token exchange path accepts RFC7636-invalid code_verifier values (including one-character strings) for S256 PKCE flows. Because short/weak verifiers are accepted and failed verifier attempts do not consume the authorization code, an attacker who intercepts an authorization code can brute-force code_verifier guesses online until token issuance succeeds.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
Productos afectados
node-oauth · node-oauth2-server¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →