Clerk-js库存在OAuth认证流程绕过漏洞,OTP验证阶段可被操纵

本文披露了Clerk-js库中存在的一个安全漏洞(CVE-2025-63700),允许攻击者在OTP验证阶段通过操纵请求来绕过OAuth认证流程。该漏洞影响了5.88.0及更早版本,CVSS评分为6.6分,属于中等严重性。

Clerk-js存在绕过OAuth认证流程的漏洞

漏洞详情

在Clerk-js 5.88.0版本中发现了一个问题,允许攻击者在OTP验证阶段通过操纵请求来绕过OAuth认证流程。

受影响的软件包

软件包管理器: npm 软件包名称: @clerk/clerk-js

受影响版本: <= 5.88.0 已修复版本: 无

严重性评估

CVSS总体评分: 6.6(中等严重性)

CVSS v4基础指标:

  • 攻击向量: 网络
  • 攻击复杂性: 低
  • 攻击要求: 无
  • 所需权限: 无
  • 用户交互: 无
  • 受影响系统完整性影响: 高
  • 受影响系统机密性影响: 无
  • 受影响系统可用性影响: 无

CVSS向量表示: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:U

其他信息

EPSS评分: 0.052%(第16百分位数) 该评分估计此漏洞在接下来30天内被利用的概率。

弱点:

  • CWE-290: 通过欺骗进行身份验证绕过
  • CWE-639: 通过用户控制密钥进行授权绕过

CVE ID: CVE-2025-63700 GHSA ID: GHSA-3mm3-wfpv-q85g

参考资料

时间线

  • 国家漏洞数据库发布日期: 2025年11月20日
  • GitHub咨询数据库发布日期: 2025年11月20日
  • 最后更新日期: 2025年11月21日
  • GitHub审查日期: 2025年11月21日
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次