ГлавнаяБаза уязвимостей БДУ → BDU:2023-02954
10критическая

BDU:2023-02954

Уязвимость реализации стандарта открытой авторизации (OAuth) фреймворка Expo связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить регистрационные данные пользователя
Опубликовано: 2023-05-31
Описание

Уязвимость реализации стандарта открытой авторизации (OAuth) фреймворка Expo связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимостей может позволить нарушителю, действующему удалённо, получить регистрационные данные пользователя

Затрагиваемое ПО и версии
Expo (от 45.0.0 до 48.0.0)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничить использование механизма регистрации/входа на веб-сайт через другие веб-сервисы (социальные сети).

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://blog.expo.dev/security-advisory-for-developers-using-authsessions-useproxy-options-and-auth-expo-io-e470fe9346dfhttps://www.darkreading.com/endpoint/oauth-flaw-in-expo-platform-affects-hundreds-of-third-party-sites-apps
Проверьте безопасность своего сайта и почты → Полная проверка домена