漏洞关键信息 漏洞概述 标题: Vulnerability allows attacker to fake their email address during authentication CVE ID: CVE-2020-26254 GHSA ID: GHSA-49r3-2549-3633 发布日期: Dec 3, 2020 严重程度: Moderate 影响范围 受影响的包: omniauth-apple (RubyGems) 受影响版本: <= 1.0.0 已修复版本: 1.0.1 详细描述 影响: 该漏洞影响使用 策略的 策略的应用程序,并使用 字段进行任何类型的识别。 字段的值可能被设置为攻击者选择的任何值,包括其他用户的电子邮件地址。 漏洞代码示例 修复方案 建议升级: 使用受影响版本的 的应用程序建议升级到 版本1.0.1或更高版本。 解决方案 工作区解决方法: 如果无法升级到已修复的版本,建议进行以下 操作 : 参考资料 修复提交: b37d540 CVE官网详情: CVE-2020-26254