Kritična greška u Patreon autentifikaciji - moguća zloupotreba naloga
Kritična ranjivost u Patreon OAuth biblioteci dozvoljava mapiranje svih korisnika na isti ID i pristup tuđim nalozima.
Šta se desilo?
Otkrivena je kritična ranjivost u biblioteci za autentifikaciju preko Patreon-a. Greška omogućava da svi korisnici prijavljeni preko Patreon naloga budu mapirati na isti lokalni korisnički ID, umesto da svaki račun dobije jedinstvenu identifikaciju. To znači da su svi Patreon korisnici aplikacije de facto pretvarani u jedan nalog.
Koga pogađa?
Aplikacije koje koriste pogođene verzije biblioteke za OAuth autentifikaciju putem Patreon-a - verzije 1.18.0 do 1.25.1 i verzije 2.0.0 do 2.1.1. Potencijalno su ugroreni svi korisnici takvih aplikacija, jer različiti Patreon nalozi mogu pristupiti podacima jedan drugoga.
Kako se zaštititi?
- Ažurirajte biblioteku na verziju 1.25.2 ili 2.1.2 ili noviju što je pre moguće
- Ako koristite Patreon autentifikaciju, proverite da li ste pogođeni i sprovrite nadogradnju odmah
- Obavestite sve korisnike svoje aplikacije o bezbednosnoj zakrpi
- Razmislite o privremenom ograničenju Patreon OAuth pristupa dok ne ažurirate
- Proverite logove pristupa da vidite da li je doslo do zloupotreb
Tehnički detalji
CVE-2026-42560 - CVSS skor 9.1 (KRITIČNO). Ranjivost se nalazi u Patreon OAuth provajderu koji ne kreira jedinstvene lokalne ID-eve za različite Patreon naloge. Napada olakšava pristup tuđim podacima, zamenu privilegija i curenje informacija o pretplatama.
Preporuka Sajber Radara
Ovo je kritična bezbednosna greška koja zahteva hitan odgovor. Ako imate aplikaciju koja koristi Patreon autentifikaciju, ažurirajte biblioteku odmah na ispravljenu verziju i uverite se da jedinstveni identifikatori korisnika funkcionišu ispravno nakon nadogradnje.