Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-06147

Опубликовано: 02 сент. 2022
Источник: fstec
CVSS3: 6.8
CVSS2: 6.2
EPSS Низкий

Описание

Уязвимость программной платформы Node.js связана с ошибками реализации процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию

Вендор

Node.js Foundation

Наименование ПО

Node.js

Версия ПО

до 3.0.2 (Node.js)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,2)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/nextauthjs/next-auth/security/advisories/GHSA-4rxr-27mm-mxq9

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 32%
0.00119
Низкий

6.8 Medium

CVSS3

6.2 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-39263

CVSS3: 6.8
nvd
почти 3 года назад

`@next-auth/upstash-redis-adapter` is the Upstash Redis adapter for NextAuth.js, which provides authentication for Next.js. Applications that use `next-auth` Email Provider and `@next-auth/upstash-redis-adapter` before v3.0.2 are affected by this vulnerability. The Upstash Redis adapter implementation did not check for both the identifier (email) and the token, but only checking for the identifier when verifying the token in the email callback flow. An attacker who knows about the victim's email could easily sign in as the victim, given the attacker also knows about the verification token's expired duration. The vulnerability is patched in v3.0.2. A workaround is available. Using Advanced Initialization, developers can check the requests and compare the query's token and identifier before proceeding.

github логотип

GHSA-4rxr-27mm-mxq9

CVSS3: 6.8
github
почти 3 года назад

Upstash Adapter missing token verification

EPSS

Процентиль: 32%
0.00119
Низкий

6.8 Medium

CVSS3

6.2 Medium

CVSS2