聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
next.js 应用程序的开源认证包 Nextauth.js 中存在一个严重漏洞,可导致恶意人员接管受害者的邮件账户,CVSS评分为9.1。
该NPM包的用户如使用4.10.3或3.29.10版本之前的 EmailProvider,则受该漏洞影响。
如攻击者能伪造请求,将通过逗号分割的邮件清单,如attacker@attacker.com,victim@victim.com 发送到登录端点,则Nextauth.js 会将邮件发送给攻击者和受害者的额邮件地址。之后,攻击者将以新建用户身份登录,邮件地址是 attacker@attacker.com和victim@victim.com。signIn回调函数中的基本的授权如 email.endsWith("@victim.com") 将无法将威胁告知开发人员,导致攻击者绕过授权,即使使用的是 @attacker.com 地址也不例外。
漏洞已修复
维护人员已在版本4.10.3和v3.29.10中将发送给登录端点的在其它地方访问邮件值之前,将邮件值正常化,修复了该漏洞。
维护人员表示,“我们还在 EmailProvider 配置中增加了 normalizeIdentifier 回调函数,之后可为系统视作合法邮件地址的地址修改要求。”
用户如无法打补丁,也可使用应变措施,不过建议更新至最新版本。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞
Juniper Networks修复200多个第三方组件漏洞
PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点
开源项目 Parse Server 出现严重漏洞,影响苹果 Game Center
奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖
热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥
原文链接
https://portswigger.net/daily-swig/authentication-bypass-bug-in-nextauth-js-could-allow-email-account-takeover
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~