CVE-2025-67716: CWE-184: Auth0 nextjs-auth0 中的不完整禁用输入列表

严重性：中等 类型：漏洞

CVE-2025-67716

Auth0 Next.js SDK 是一个用于在 Next.js 应用程序中实现用户身份验证的库。版本 4.9.0 至 4.12.1 在 returnTo 参数中存在输入验证缺陷，可能允许攻击者向 Auth0 授权请求中注入非预期的 OAuth 查询参数。成功利用此漏洞可能导致颁发的令牌包含非预期的参数。该问题已在版本 4.13.0 中修复。

AI 分析

技术总结

被识别为 CVE-2025-67716 的漏洞影响了 Auth0 Next.js SDK，这是一个用于在 Next.js 应用程序中实现用户身份验证的流行库。具体来说，从 4.9.0 版本开始直至但不包括 4.13.0 的版本，在处理 returnTo 参数时存在输入验证缺陷。该参数旨在指定用户在身份验证后被重定向到的 URL。然而，由于禁用输入列表不完整（CWE-184），攻击者可以通过操纵 returnTo 值，向授权请求中注入额外的 OAuth 查询参数。这种注入可能导致 Auth0 授权服务器颁发包含非预期或恶意参数的令牌，潜在地允许攻击者提升权限、绕过预期的授权约束或将用户重定向到恶意端点。该漏洞要求攻击者具有高权限，并且涉及用户交互，这使得利用更加复杂，但在针对性场景中仍然可行。CVSS v3.1 基础评分为 5.7，反映了中等严重性，对机密性和完整性有高度影响，但对可用性没有影响。该缺陷已在 SDK 的 4.13.0 版本中得到解决和修复。目前没有已知的在野利用报告，但对于使用易受攻击版本的应用，风险仍然显著。

潜在影响

对于欧洲组织而言，此漏洞对 Next.js 应用程序中使用 Auth0 颁发的身份验证令牌的机密性和完整性构成风险。成功利用可能允许攻击者操纵 OAuth 令牌，可能导致未经授权访问敏感系统或数据。这对于金融、医疗保健和政府等有严格数据保护要求的行业尤其令人担忧。该缺陷还可能通过将用户在身份验证后重定向到恶意 URL 来助长网络钓鱼或会话劫持攻击。由于许多欧洲公司依赖像 Auth0 这样的基于云的身份提供商进行安全身份验证，如果不及时解决，该漏洞可能会产生广泛的影响。对高权限和用户交互的要求在一定程度上限制了攻击面，但并未消除风险，尤其是在用户角色复杂或存在内部威胁的环境中。

缓解建议

主要的缓解措施是将 Auth0 Next.js SDK 升级到 4.13.0 或更高版本，其中输入验证缺陷已得到纠正。组织应审核其应用程序，以识别 returnTo 参数的使用情况，并确保对任何用户提供的输入进行严格验证，并依据全面的允许 URL 或参数白名单进行清理。在处理前实施额外的服务器端检查以验证 OAuth 参数的合法性可以降低风险。监控身份验证日志中是否存在异常参数模式或意外重定向有助于检测利用尝试。安全团队还应教育开发人员有关安全的 OAuth 实现实践，并进行定期的依赖项审查以及时应用安全补丁。最后，考虑实施多因素身份验证和异常检测，以减轻令牌泄露的潜在影响。

受影响国家

德国、法国、英国、荷兰、瑞典

来源： CVE 数据库 V5 发布日期： 2025年12月11日，星期四