漏洞详情

GHSA ID: GHSA-7hh9-gp72-wh7h

严重性: 中等 (CVSS 分数：6.8)

描述: 在使用 Auth0-PHP SDK 构建的应用程序中，访问令牌的受众验证执行不当。缺乏正确的验证可能导致受影响的应用程序将 ID 令牌当作访问令牌接受。

受影响的产品和版本: 满足以下前置条件的用户将受到影响：

• 应用程序使用的 Auth0 Laravel SDK 版本在 7.0.0 到 7.19.0 之间。
• 此 Auth0 Laravel SDK 使用的 Auth0-PHP SDK 版本在 8.0.0 到 8.17.0 之间。

解决方案: 将 auth0/laravel-auth0 升级到版本 7.20.0 或更高版本。

致谢: Okta 感谢 Jafar Sadiq (iaf4r) 的发现和负责任的披露。

参考资料:

• GHSA-7hh9-gp72-wh7h
• auth0/laravel-auth0@a1c3344
• https://github.com/auth0/laravel-auth0/releases/tag/7.20.0

技术细节

CVSS v3.1 基准指标:

• 攻击向量: 网络
• 攻击复杂度: 高
• 所需权限: 低
• 用户交互: 无
• 范围: 未改变
• 机密性影响: 高
• 完整性影响: 高
• 可用性影响: 无

CVSS 向量: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N

弱点:

• CWE-863: 不正确的授权 - 当执行者试图访问资源或执行操作时，产品执行了授权检查，但未正确执行该检查。
• CWE-1395: 对易受攻击的第三方组件的依赖 - 产品依赖的第三方组件包含一个或多个已知漏洞。

发布日期: 2025年12月17日 最后更新: 2025年12月17日