CVE-2025-67490: CWE-863: Auth0 nextjs-auth0中的不正确授权

严重性: 中等 类型: 漏洞

CVE-2025-67490

Auth0 Next.js SDK是一个用于在Next.js应用程序中实现用户身份验证的库。当使用4.11.0至4.11.2和4.12.0版本时，同一客户端上的同时请求可能导致对请求结果的TokenRequestCache进行不当查询。此问题已在版本4.11.2和4.12.1中修复。

AI分析

技术总结

CVE-2025-67490是在Auth0 Next.js SDK（nextjs-auth0）中发现的一个授权漏洞，归类于CWE-863。nextjs-auth0是一个广泛用于在Next.js Web应用程序中实现用户身份验证的库。该问题影响4.11.0至4.11.2和4.12.0版本，其中来自同一客户端的同时请求可能导致TokenRequestCache出现不当查询。该缓存负责存储令牌请求结果，而此缺陷允许一个请求可能访问本意用于另一个请求的令牌数据。这种不正确的授权可能导致敏感身份验证令牌暴露，损害用户机密性。利用此漏洞需要攻击者具备网络访问权限和低权限，并且需要用户交互，这在一定程度上限制了可利用性。完整性影响较低，因为该缺陷主要是泄露数据而非允许修改，并且可用性不受影响。该漏洞的CVSS 3.1基础评分为5.4，反映了中等严重级别。该问题于2025年12月10日公开披露，并在SDK的4.11.2和4.12.1版本中修复。目前尚未有已知的在野利用报告。使用受影响版本的组织应及时升级，以减轻未经授权的令牌访问以及利用泄露凭证进行的潜在下游攻击风险。

潜在影响

对于欧洲组织而言，此漏洞对使用受影响Auth0 SDK版本的Next.js应用程序中的用户身份验证令牌的机密性构成重大风险。令牌暴露可能导致对用户帐户和服务的未经授权访问，进而可能引发数据泄露、隐私侵犯以及违反GDPR等法规的合规性问题。虽然该漏洞不直接影响系统完整性或可用性，但令牌泄露所促成的未经授权访问可能助长进一步的攻击，例如权限提升或网络内的横向移动。高度依赖Web应用程序进行客户或员工身份验证的行业（如金融、医疗保健和电子商务）中的组织面临的风险尤其大。中等严重性评级表明了一种中等但可操作的威胁，特别是在同时进行多个身份验证请求常见的环境中。未能修补可能会破坏对身份验证机制的信任，并在个人数据泄露时导致监管处罚。

缓解建议

主要的缓解措施是将Auth0 Next.js SDK升级到已修复此问题的4.11.2或4.12.1版本。组织应审核其应用程序以识别受影响版本的使用情况，并优先进行修补。此外，开发人员应实施严格的会话管理和令牌验证，以检测和防止令牌滥用。采用速率限制和监控不寻常的身份验证请求模式有助于识别利用尝试。在无法立即升级的情况下，隔离身份验证请求或序列化令牌请求以避免同时进行缓存查询可以降低风险。安全团队还应审查与令牌颁发和访问相关的异常日志。最后，对开发人员进行有关安全使用身份验证库的教育以及维护最新的依赖项管理流程将有助于防止类似的漏洞。

受影响国家

德国、英国、法国、荷兰、瑞典、爱尔兰

技术详情

• 数据版本: 5.2
• 分配者简称: GitHub_M
• 日期预留: 2025-12-08T18:49:47.486Z
• Cvss 版本: 3.1
• 状态: PUBLISHED
• 威胁 ID: 6939f4c87cb4621ebe93c164
• 添加到数据库: 12/10/2025, 10:31:36 PM
• 最后丰富: 12/10/2025, 10:46:51 PM
• 最后更新: 12/11/2025, 11:57:27 AM
• 浏览量: 19

来源: CVE数据库 V5 发布日期: 2025年12月10日 星期三