关键信息 漏洞概述 漏洞名称: Case insensitive OAuth ID vulnerability 严重性: High CVE ID: CVE-2023-49006 弱项: CWE-276 影响 受影响的包: wasp (wasp) 受影响版本: < 0.16.5 修复版本: 0.16.6 描述: Wasp 认证在 OAuth 认证实现中存在漏洞(仅影响具有特定配置的 Keycloak)。Wasp 在存储/获取 OAuth 用户 ID 之前将其转换为小写。这种行为违反了 OAuth 和 OpenID Connect 规范,可能导致用户冒充、账户冲突和权限提升。 受影响的 OAuth 提供商 Google: 使用数值 ID (不受影响) GitHub: 使用数值 ID (不受影响) Discord: 使用数值 ID (不受影响) Keycloak: 默认使用小写 UUID,但用户可以配置为区分大小写 (受影响) 补丁 用户应更新 Wasp 版本至 0.16.6,该版本修复了问题行为。 解决方案 使用 Keycloak 的用户可以通过不在领域配置中使用区分大小写的用户 ID 来绕过此问题。 参考资料 更详细的说明: https://wasp-lang.notion.site/PUB-Case-insensitive-OAuth-ID-vulnerability-20018a74854c8064a2bfefe4eaf5fceb