漏洞详情

包管理器: composer 受影响包: auth0/wordpress (Composer) 受影响版本: >= 5.0.0-BETA0, <= 5.4.0 已修补版本: 5.5.0

描述

在使用Auth0-PHP SDK构建的应用程序中，对访问令牌的受众验证执行不当。如果没有适当的验证，受影响的应用程序可能会将ID令牌接受为访问令牌。

受影响的产品和版本

如果项目满足以下先决条件，则会受到影响：

• 使用版本在5.0.0-BETA0至5.4.0之间的Auth0 WordPress插件。
• Auth0 WordPress插件使用版本在8.0.0至8.17.0之间的Auth0-PHP SDK。

解决方案

将Auth0 WordPress插件升级到版本5.5.0或更高版本。

致谢

Okta感谢Jafar Sadiq (iaf4r)的发现和负责任的披露。

参考

• GHSA-vvg7-8rmq-92g7
• auth0/wordpress@b207c6f
• https://github.com/auth0/wordpress/releases/tag/5.5.0

发布者: jennyyang-okta 发布至 auth0/wordpress (2025年12月17日) 发布于GitHub安全公告数据库: 2025年12月17日 已审核: 2025年12月17日 最后更新: 2025年12月17日

严重性

等级: 中等 CVSS总体评分: 6.8 / 10

CVSS v3 基础指标

• 攻击向量: 网络
• 攻击复杂度: 高
• 所需权限: 低
• 用户交互: 无
• 影响范围: 未改变
• 机密性影响: 高
• 完整性影响: 高
• 可用性影响: 无

向量字符串: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N

弱点

• CWE-863: 不正确的授权 - 当参与者试图访问资源或执行操作时，产品执行授权检查，但未正确执行该检查。
• CWE-1395: 对易受攻击的第三方组件的依赖 - 产品依赖于包含一个或多个已知漏洞的第三方组件。

CVE ID: 暂无已知CVE GHSA ID: GHSA-vvg7-8rmq-92g7

源代码: auth0/wordpress