Tinyauth

Tinyauth

3 Schwachstellen gefunden.

Hinweis: Diese Liste kann unvollständig sein. Daten werden ohne Gewähr im Ursprungsformat bereitgestellt.
7.7

CVE-2026-33544

Exploit
  • EPSS 0.05%
  • Veröffentlicht 02.04.2026 15:00:38
  • Zuletzt bearbeitet 07.04.2026 12:44:36

Tinyauth is an authentication and authorization server. Prior to version 5.0.5, all three OAuth service implementations (GenericOAuthService, GithubOAuthService, GoogleOAuthService) store PKCE verifiers and access tokens as mutable struct fields on s...

6.5

CVE-2026-32245

Exploit
  • EPSS 0.06%
  • Veröffentlicht 12.03.2026 19:16:19
  • Zuletzt bearbeitet 19.03.2026 20:46:39

Tinyauth is an authentication and authorization server. Prior to 5.0.3, the OIDC token endpoint does not verify that the client exchanging an authorization code is the same client the code was issued to. A malicious OIDC client operator can exchange ...

7.1

CVE-2026-32246

Exploit
  • EPSS 0.04%
  • Veröffentlicht 12.03.2026 19:16:19
  • Zuletzt bearbeitet 19.03.2026 20:35:26

Tinyauth is an authentication and authorization server. Prior to 5.0.3, the OIDC authorization endpoint allows users with a TOTP-pending session (password verified, TOTP not yet completed) to obtain authorization codes. An attacker who knows a user's...