📋 漏洞概述

Patreon OAuth库（auth）用户ID映射缺陷导致跨账户访问与权限混淆。

📋 基础信息

🔬 漏洞根因

在Patreon OAuth provider实现中，开发者错误地将所有通过Patreon认证的账户映射到同一个本地用户ID（token.User.ID），而不是根据Patreon返回的每个唯一账户（如Patreon account ID）生成不同的本地标识符。这种硬编码或固定映射逻辑导致所有Patreon用户共享同一个本地身份，彻底破坏了身份隔离。

🎯 攻击场景

1. 前提：目标应用使用受影响版本的auth库，并启用了Patreon OAuth登录，且应用业务逻辑依赖token.User.ID识别用户身份（如获取订阅、管理数据）。 2. 攻击者A（合法Patreon用户）登录应用，系统为其分配了固定的User.ID（如‘patreon_user_1’）。 3. 攻击者B（另一Patreon用户）登录同一应用，系统错误地将B也映射到同一个User.ID（‘patreon_user_1’）。 4. 攻击者B访问用户A的数据、订阅状态、会话或资源（如付费内容、管理面板），因为应用认为B就是A。 5. 成功标志：攻击者B能读取A的私有信息，甚至以A的身份执行操作（如提现、发布内容），实现跨用户数据泄露与权限提升。

💥 漏洞影响

严重：所有Patreon登录用户被合并为同一身份，导致任意两个Patreon用户之间完全身份混淆。具体危害包括：跨账户数据泄露（订单、消息、隐私信息）、权限混淆（普通用户获得管理员权限）、订阅状态泄漏（受害者可获取其他用户的会员状态）。影响范围覆盖所有依赖该库且信任token.User.ID作为稳定账户键的应用。

🛡️ 修复建议

升级：立即将auth库升级至 >= 1.25.2 或 >= 2.1.2 版本，该版本已修正Patreon OAuth映射逻辑。 临时缓解措施：若不能立即升级，可临时禁用Patreon OAuth登录功能，或添加应用层二次验证（如强制要求用户绑定本地邮箱/手机号并验证身份）以阻断单一身份导致的混淆。

📎 参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2026-42560
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-42560
• 原始来源（NVD-Latest）

⚠️ 本文由漏洞情报系统自动生成，仅供安全研究与防御参考。生成时间: 2026-05-11 08:03 | 来源: NVD-Latest