CVE-2025-65431:allauth-django第三方身份验证标识符不当使用的安全漏洞

本文披露了allauth-django在65.13.0之前版本中的一个安全漏洞,该漏洞涉及Okta和NetIQ第三方提供商使用可变的preferred_username作为账户标识符,可能导致授权决策错误,现已修复为使用不可变的sub声明。

CVE-2025-65431: n/a

严重性: 未指定 类型: 漏洞

CVE-2025-65431

在 allauth-django 65.13.0 之前的版本中发现一个问题。Okta 和 NetIQ 都使用 preferred_username 作为第三方提供商账户的标识符。该值可能是可变的,因此应避免将其用于授权决策。现在,提供商已改用 sub 声明。

来源: CVE 数据库 V5 发布日期: 2025年12月15日,星期一

描述 在 allauth-django 65.13.0 之前的版本中发现一个问题。Okta 和 NetIQ 都使用 preferred_username 作为第三方提供商账户的标识符。该值可能是可变的,因此应避免将其用于授权决策。现在,提供商已改用 sub 声明。

技术细节

  • 数据版本: 5.2
  • 分配者简称: mitre
  • 保留日期: 2025-11-18T00:00:00.000Z
  • Cvss 版本: null
  • 状态: PUBLISHED
  • 威胁ID: 694017f1d9bcdf3f3ddec580
  • 添加到数据库时间: 2025年12月15日,下午2:15:13
  • 最后更新时间: 2025年12月15日,下午2:16:12
  • 浏览量: 1

相关威胁

  • CVE-2025-65782: n/a
  • CVE-2025-65781: n/a
  • CVE-2025-65780: n/a
  • CVE-2025-65779: n/a
  • CVE-2025-65778: n/a
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次