Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al framework Expo, que permitiría a un atacante robar información confidencial y tomar el control total del sitio web afectado. Expo es un framework popular utilizado por muchos servicios en línea para implementar OAuth.
La vulnerabilidad identificada como CVE-2023-28131, de severidad “Crítica”, con una puntuación asignada de 9.6. Esta vulnerabilidad se debe a una falla de control de acceso en la biblioteca expo-auth-session del framework Expo. Esto permitiría a un atacante no autenticado a través del envío de URLs especialmente diseñadas al sitio web y visitada por la víctima, robar información confidencial y realizar escalamiento de privilegios en el sitio web afectado.
El producto afectado es:
- Framework Expo
Si bien el proveedor proporcionó una actualización automática, se recomienda seguir los pasos de la guía para la migración correspondiente al servicio en el siguiente enlace:
Referencias:
- https://salt.security/blog/a-new-oauth-vulnerability-that-may-impact-hundreds-of-online-services
- https://nvd.nist.gov/vuln/detail/CVE-2023-28131
- https://blog.expo.dev/security-advisory-for-developers-using-authsessions-useproxy-options-and-auth-expo-io-e470fe9346df?gi=ac41dbee2e25
- https://expo.fyi/auth-proxy-migration
- https://docs.expo.dev/development/introduction/