根据用户的要求,我需要从提供的网页截图中提取关于漏洞的关键信息,并用简洁的中文Markdown格式进行总结。 1. 漏洞概述 (Vulnerability Overview): 标题: OAuth account confusion via shared mutable state on singleton service instances (通过单例服务实例上的共享可变状态导致的OAuth账户混淆)。 描述: 这是一个关于 库中 、 和 类的问题。这些类维护了可变的OAuth2状态,并且是单例(singleton)的。当多个客户端使用同一个提供者(provider)时,它们会共享同一个 实例。这导致了账户混淆(account confusion),因为一个客户端的OAuth2状态(如访问令牌)可能会被另一个客户端意外覆盖。 严重性: High (高)。 CVSS评分: 7.7 / 10。 2. 影响范围 (Affected Versions): 受影响版本: 漏洞总结:OAuth account confusion via shared mutable state on singleton service instances 漏洞概述 该漏洞存在于 库中。 、 和 类维护了可变的 OAuth2 状态,并且被设计为单例(singleton)。当多个客户端使用同一个 OAuth2 提供者(provider)时,它们会共享同一个 实例。这导致了账户混淆(account confusion),因为一个客户端的 OAuth2 状态(如访问令牌)可能会被另一个客户端意外覆盖,导致用户 A 的请求使用了用户 B 的凭证。 影响范围 受影响组件: 受影响版本: 修复版本: 严重性: High (CVSS 7.7) 修复方案 建议避免在单例服务实例上共享可变状态。具体的修复建议是确保 每次请求都使用独立的 实例,而不是共享同一个实例。 建议的代码修复 (Suggested Fix):** POC / 利用代码 以下代码展示了如何触发该漏洞(两个客户端共享同一个 实例):