严重风险(CVSS9.1):Auth 0-PHP SDK缺陷威胁超过1600万下载量

阅读量42072

发布时间 : 2025-05-20 14:51:38

x
译文声明

本文是翻译文章,文章原作者 Ddos,文章来源:securityonline

原文地址:https://securityonline.info/critical-risk-cvss-9-1-auth0-php-sdk-flaw-threatens-16m-downloads/

译文仅供参考,具体内容表达以及含义原文为准。

Auth0-PHP 漏洞 CVE-2025-47275

Okta已经发布了一个关键的安全咨询警告开发人员和企业使用Auth0-PHP SDK关于一个严重漏洞,该漏洞可能允许攻击者通过对会话cookie的蛮力攻击获得未经授权的访问。

vulnerability该漏洞被跟踪为 CVE-2025-47275(CVSS 9.1),当配置为使用 CookieStore 进行会话管理时,会影响 Auth0-PHP SDK 和相关集成。advisory根据咨询:“使用Auth0-PHP SDK配置与CookieStore的应用程序的会话cookie具有可能强制的身份验证标签,这可能导致未经授权的访问。

安全研究员Félix Charette发现,这个漏洞暴露了利用SDK与Google,Facebook,Active Directory等流行身份提供商进行身份验证的Web应用程序的重大风险。

 

vulnerable如果您的申请符合以下两项标准,则您处于弱势:

  1. 它使用Auth0-PHP SDK,或依赖它的SDK之一:
    • auth0/symfony(英语:auth0/s
    • auth0/laravel-auth0
    • auth0/wordpress
  2. 它使用 CookieStore 作为会话存储方法。

Okta强烈建议所有受影响的开发人员立即升级到以下安全版本:

    • Auth0-PHP SDK → v8.14.0

 

  • Laravel SDK → v7.17.0
  • Symfony SDK → v5.4.0
  • WordPress插件→v5.3.0

此外,咨询强调:“作为额外的预防措施,我们建议旋转您的cookie加密密钥。请注意,一旦更新,任何以前的会话cookie将被拒绝。

Auth0-PHP SDK 的下载量接近 1600 万次,广泛嵌入到各种生态系统中的 PHP 应用程序中,从小型企业网站到大型企业应用程序。

exploitation鉴于CVSS的高分和通过蛮力进行剥削的易用性,组织应该将其视为最高优先级的更新,并立即修补以减轻会话劫持和未经授权的访问风险。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+13赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66