Plattform
nodejs
Komponente
@auth0/nextjs-auth0
Behoben in
4.12.1
4.18.0
CVE-2026-40155 affects the @auth0/nextjs-auth0 Next.js SDK, specifically versions 4.12.0 through 4.17.0. This vulnerability arises when simultaneous requests trigger a nonce retry, potentially leading to incorrect token request result lookups within the proxy cache fetcher. Applications utilizing the proxy handler (/me/* and /my-org/*) with DPoP enabled are susceptible. An upgrade to version 4.18.0 resolves this issue.
CVE-2026-40155 betrifft Versionen 4.12.0 bis 4.17.0 des @auth0/nextjs-auth0 SDKs. Es tritt auf, wenn mehrere gleichzeitige Anfragen, die eine Wiederholung des Nonces auslösen, dazu führen können, dass der Proxy-Cache-Fetcher fehlerhafte Suchvorgänge für die Ergebnisse der Token-Anfrage durchführt. Dies könnte es einem Angreifer unter bestimmten Bedingungen potenziell ermöglichen, den Authentifizierungsprozess abzufangen oder zu manipulieren und so die Sicherheit der Anwendung zu gefährden. Die Schwachstelle ist an die Verwendung des Proxy-Handlers /me/* und /my-org/* mit aktiviertem DPoP gebunden. Ein Update auf Version 4.18.0 oder höher ist entscheidend, um dieses Risiko zu mindern.
Die Ausnutzung dieser Schwachstelle erfordert bestimmte Bedingungen: die Verwendung betroffener SDK-Versionen, die Konfiguration des Proxys mit /me/* und /my-org/* und aktiviertes DPoP. Ein Angreifer müsste mehrere gleichzeitige Anfragen orchestrieren, die eine Wiederholung des Nonces auslösen, um den Fehler im Proxy-Cache-Fetcher auszunutzen. Die Komplexität dieser Ausnutzung begrenzt das Gesamtrisiko, aber die Möglichkeit der Token-Manipulation erfordert ein sofortiges Update.
Exploit-Status
EPSS
0.04% (12% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Lösung ist ein Update auf Version 4.18.0 oder höher des @auth0/nextjs-auth0 SDKs. Diese Version enthält eine Korrektur, die die Logik des Proxy-Cache-Fetchers behebt, fehlerhafte Suchvorgänge verhindert und die Schwachstelle mindert. Wenn ein sofortiges Update nicht möglich ist, überprüfen Sie Ihre Proxy- und DPoP-Konfiguration sorgfältig, um potenzielle Schwachstellen zu identifizieren. Die Überwachung der Anwendungsprotokolle auf ungewöhnliche Muster im Zusammenhang mit Token-Anfragen kann ebenfalls dazu beitragen, potenzielle Exploitationsversuche zu erkennen. Nach jeder Konfigurationsänderung oder SDK-Aktualisierung werden gründliche Tests empfohlen.
Actualice la Auth0 Next.js SDK a la versión 4.18.0 o superior para mitigar el riesgo de una búsqueda incorrecta en la caché del proxy. Asegúrese de que su proyecto no utilice la combinación vulnerable de versiones y la configuración del proxy handler /me/* y /my-org/* con DPoP habilitado.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Ein Nonce ist eine eindeutige, einmalige Zahl, die verwendet wird, um Replay-Angriffe in Authentifizierungsprotokollen zu verhindern.
DPoP (Proof of Possession) ist ein Sicherheitsmechanismus, der es einem Client ermöglicht, den Besitz eines privaten Schlüssels zu beweisen, ohne den Schlüssel selbst preiszugeben.
Es ist eine Komponente, die Token-Anfrageergebnisse zwischenspeichert, um die Leistung zu verbessern. Die Schwachstelle liegt in der Art und Weise, wie diese Komponente die Wiederholung des Nonces behandelt.
Sie können die SDK-Version überprüfen, indem Sie npm list @auth0/nextjs-auth0 oder yarn list @auth0/nextjs-auth0 in Ihrem Projekt ausführen.
Wenn Sie nicht sofort aktualisieren können, überprüfen Sie die Konfiguration Ihres Proxys und DPoP, überwachen Sie die Protokolle und erwägen Sie, zusätzliche Sicherheitsmaßnahmen zu ergreifen, z. B. die Begrenzung der Anzahl von Anfragen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.