CVE-2024-21632

omniauth-microsoft_graph provides an Omniauth strategy for the Microsoft Graph API. Prior to versions 2.0.0, the implementation did not validate the legitimacy of the `email` attribute of the user nor did it give/document an option to do so, making it susceptible to nOAuth misconfiguration in cases when the `email` is used as a trusted user identifier. This could lead to account takeover. Version 2.0.0 contains a fix for this issue.

CVSS v3 8.6 HIGH

8.6^/10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 4.7

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact LOW

Availability Impact LOW

Scope UNCHANGED

References

Link	Resource
https://github.com/synth/omniauth-microsoft_graph/commit/f132078389612b797c872b45bd0e0b47382414c1	Patch
https://github.com/synth/omniauth-microsoft_graph/security/advisories/GHSA-5g66-628f-7cvj	Vendor Advisory
https://www.descope.com/blog/post/noauth	Exploit
https://github.com/synth/omniauth-microsoft_graph/commit/f132078389612b797c872b45bd0e0b47382414c1	Patch
https://github.com/synth/omniauth-microsoft_graph/security/advisories/GHSA-5g66-628f-7cvj	Vendor Advisory
https://www.descope.com/blog/post/noauth	Exploit

Configurations

Configuration 1 (hide)

cpe:2.3:a:recognizeapp:omniauth\:\:microsoftgraph:*:*:*:*:*:ruby:*:*

History

21 Nov 2024, 08:54

Type	Values Removed	Values Added
CVSS	v2 : ~~unknown~~ v3 : ~~9.8~~	v2 : unknown v3 : 8.6
References	~~() https://github.com/synth/omniauth-microsoft_graph/commit/f132078389612b797c872b45bd0e0b47382414c1 - Patch~~	() https://github.com/synth/omniauth-microsoft_graph/commit/f132078389612b797c872b45bd0e0b47382414c1 - Patch
References	~~() https://github.com/synth/omniauth-microsoft_graph/security/advisories/GHSA-5g66-628f-7cvj - Vendor Advisory~~	() https://github.com/synth/omniauth-microsoft_graph/security/advisories/GHSA-5g66-628f-7cvj - Vendor Advisory
References	~~() https://www.descope.com/blog/post/noauth - Exploit~~	() https://www.descope.com/blog/post/noauth - Exploit

09 Jan 2024, 17:45

Type	Values Removed	Values Added
Summary	(es) omniauth-microsoft_graph proporciona una estrategia Omniauth para la API de Microsoft Graph. Antes de las versiones 2.0.0, la implementación no validaba la legitimidad del atributo "email" del usuario ni daba/documentaba una opción para hacerlo, lo que la hacía susceptible a una mala configuración de nOAuth en los casos en que se utiliza el "email". como identificador de usuario confiable. Esto podría llevar a la apropiación de cuentas. La versión 2.0.0 contiene una solución para este problema.	(es) omniauth-microsoft_graph proporciona una estrategia Omniauth para la API de Microsoft Graph. Antes de las versiones 2.0.0, la implementación no validaba la legitimidad del atributo "email" del usuario ni daba/documentaba una opción para hacerlo, lo que la hacía susceptible a una mala configuración de nOAuth en los casos en que se utiliza el "email" como identificador de usuario confiable. Esto podría llevar a la apropiación de cuentas. La versión 2.0.0 contiene una solución para este problema.
CPE		cpe:2.3:a:recognizeapp:omniauth\:\:microsoftgraph::::::ruby::*
References	~~() https://github.com/synth/omniauth-microsoft_graph/commit/f132078389612b797c872b45bd0e0b47382414c1 -~~	() https://github.com/synth/omniauth-microsoft_graph/commit/f132078389612b797c872b45bd0e0b47382414c1 - Patch
References	~~() https://github.com/synth/omniauth-microsoft_graph/security/advisories/GHSA-5g66-628f-7cvj -~~	() https://github.com/synth/omniauth-microsoft_graph/security/advisories/GHSA-5g66-628f-7cvj - Vendor Advisory
References	~~() https://www.descope.com/blog/post/noauth -~~	() https://www.descope.com/blog/post/noauth - Exploit
CVSS	v2 : ~~unknown~~ v3 : ~~8.6~~	v2 : unknown v3 : 9.8
First Time		Recognizeapp omniauth\ Recognizeapp

03 Jan 2024, 13:48

Type	Values Removed	Values Added
Summary		(es) omniauth-microsoft_graph proporciona una estrategia Omniauth para la API de Microsoft Graph. Antes de las versiones 2.0.0, la implementación no validaba la legitimidad del atributo "email" del usuario ni daba/documentaba una opción para hacerlo, lo que la hacía susceptible a una mala configuración de nOAuth en los casos en que se utiliza el "email". como identificador de usuario confiable. Esto podría llevar a la apropiación de cuentas. La versión 2.0.0 contiene una solución para este problema.

02 Jan 2024, 22:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2024-01-02 22:15

Updated : 2024-11-21 08:54

NVD link : CVE-2024-21632

Mitre link : CVE-2024-21632

CVE.ORG link : CVE-2024-21632

JSON object : View

Products Affected

recognizeapp

omniauth\

CWE

CWE-287

Improper Authentication

8.6 /10