漏洞详情
包管理器: Composer
受影响包: auth0/symfony
受影响版本:
auth0/symfony: 版本 >= 5.0.0 且 <= 5.5.0- 依赖项: 此SDK使用的
auth0/auth0-phpSDK 版本在 8.0.0 至 8.17.0 之间。
已修复版本:
auth0/symfony: 版本 5.6.0 或更高。
严重程度: 中危 (CVSS 3.1 评分为 6.8)
描述
在使用Auth0-PHP SDK构建的应用程序中,对访问令牌的受众验证执行不当。如果没有适当的验证,受影响的应用程序可能会将ID令牌误认为是访问令牌并接受它。
受影响的条件:
- 使用版本在 5.0.0 至 5.5.0 之间的 Auth0 Symfony SDK 的应用程序。
- 该 Auth0 Symfony SDK 使用了版本在 8.0.0 至 8.17.0 之间的 Auth0-PHP SDK。
解决方案
将 auth0/symfony 升级到 5.6.0 或更高版本。
致谢
Okta 感谢 Jafar Sadiq (iaf4r) 发现此问题并进行负责任的披露。
参考链接
- 安全公告: GHSA-f3r2-88mq-9v4g
- 修复提交: auth0/symfony@0103d6f
- 发布页面: https://github.com/auth0/symfony/releases/tag/5.6.0
技术细节 (CVSS v3.1)
- 攻击向量: 网络
- 攻击复杂度: 高
- 所需权限: 低
- 用户交互: 无
- 影响范围: 未改变
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 无
- 向量字符串: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
关联弱点
- CWE-345: 数据真实性验证不足
- CWE-863: 授权不正确
- CWE-1395: 依赖存在漏洞的第三方组件