엑스포 프레임 워크의 임계 OAUTH 취약성을 사용하면 계정 납치가 가능
2023년 5월 27일에 Ravie Lakshmanan이 API 보안 / 취약점 OAUTH (Open Authorization) 구현에 대한 보안 취약점이 공개되었습니다. 취약점은 CVSS 스코어링 시스템에서 9.6의 심각도 등급을 받았고, Salt Labs는 이를 통해 자격 증명 누출 및 납치를 위해 사용될 수 있다고 밝혔습니다. 또한 Electron과 유사한 Expo는 다양한 플랫폼에서 임의의 조치를 수행할 수 있는 결함을 이용할 수 있습니다.
2023년 5월 27일, Ravie Lakshmanan API 보안 / 취약점 OAUTH (Open Authorization) 구현에 대한 보안 취약점이 공개되었습니다. CVSS 스코어링 시스템에서 9.6의 심각도 등급을 받고, Salt Labs는 자격 증명 누출 및 납치를 위해 사용될 수 있다고 밝혔습니다. 또한 Electron과 유사한 Expo는 타사 제공 업체를 사용하여 SSO (Single Sign-On)의 인증 프록시 설정을 구성하여 임의의 조치를 수행할 수 있는 결함을 이용할 수 있습니다.
Critical OAuth Vulnerability in Expo Framework Allows Account Hijacking
On May 27, 2023, Ravie Lakshmanan was released for the implementation of API security / vulnerabilities OAuth (Open Authorization).The vulnerabilities have received a serious rating of 9.6 in the CVSS scoreing system, and Salt Labs says it can be used for leakage and kidnapping.EXPO, which is similar to Electron, can also use a defect that can do any action on a variety of platforms.
On May 27, 2023, security vulnerabilities were released on the implementation of the Ravie Lakshmanan API Security / Vulnerability OAuth (Open Authorization).In the CVSS scoring system, 9.6 is a serious rating, and Salt Labs can be used for leakage and kidnapping.In addition, EXPO, which is similar to the electron, can use a third-party provider to configure the authentication proxy settings of SSO (Single Sign-on) to use a defect that can do any action.
https://thehackernews.com/2023/05/critical-oauth-vulnerability-in-expo.html