Plataforma
nextjs
Componente
@clerk/nextjs
Corregido en
4.7.1
CVE-2024-22206 describe una falla de lógica en Clerk Next.js que permite el acceso no autorizado o la escalada de privilegios. Esta vulnerabilidad, presente en versiones desde 4.7.0 hasta la 4.29.2 inclusive, permite a atacantes eludir controles de autenticación. La vulnerabilidad fue parcheada en la versión 4.29.3 y se recomienda actualizar inmediatamente.
El impacto de esta vulnerabilidad es significativo. Un atacante podría explotarla para obtener acceso no autorizado a datos sensibles protegidos por Clerk, como información de usuario, datos de perfil o incluso datos de aplicaciones integradas. La escalada de privilegios podría permitir al atacante realizar acciones con permisos elevados, potencialmente comprometiendo la integridad de la aplicación y la confidencialidad de los datos. Este tipo de falla de autenticación es particularmente peligrosa porque puede ser difícil de detectar y puede permitir a los atacantes operar de forma encubierta durante un período prolongado.
La vulnerabilidad fue publicada el 12 de enero de 2024. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS (9.1) indica un riesgo significativo. Es importante aplicar la mitigación lo antes posible para evitar posibles ataques. Se recomienda monitorear fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Applications built with Clerk Next.js and utilizing the App Router or Pages Router for authentication are at risk. This includes projects relying on Clerk's authentication services for user management, particularly those using versions 4.7.0 through 4.29.2. Shared hosting environments where Clerk Next.js is deployed could be particularly vulnerable if multiple applications share the same instance.
• nextjs / server:
# Check Clerk Next.js version
npm list clerk• generic web:
# Inspect application logs for unusual authentication patterns or unauthorized access attempts.
grep -i 'auth bypass' /var/log/nginx/error.logdisclosure
Estado del Exploit
EPSS
0.26% (50% percentil)
Vector CVSS
La mitigación principal es actualizar Clerk Next.js a la versión 4.29.3 o superior. Si la actualización causa problemas de compatibilidad, considere una reversión temporal a una versión anterior conocida como segura, aunque esto no es una solución a largo plazo. Implemente reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten explotar la falla de autenticación. Revise y fortalezca los controles de acceso dentro de su aplicación para minimizar el impacto de un posible compromiso. Después de la actualización, verifique la integridad de la aplicación y los datos mediante pruebas exhaustivas de autenticación y autorización.
Actualice la biblioteca @clerk/nextjs a la versión 4.29.3 o superior. Esto corrige la vulnerabilidad IDOR en los métodos auth() y getAuth(). Ejecute `npm install @clerk/nextjs@latest` o `yarn add @clerk/nextjs@latest` para actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-22206 describe una falla de lógica en Clerk Next.js que permite el acceso no autorizado o la escalada de privilegios debido a una falla en la autenticación.
Sí, si está utilizando Clerk Next.js en las versiones 4.7.0 hasta la 4.29.2 inclusive, es vulnerable a esta falla.
Actualice Clerk Next.js a la versión 4.29.3 o superior para mitigar la vulnerabilidad.
Aunque no se ha confirmado la explotación activa, la alta puntuación CVSS indica un riesgo significativo y se recomienda aplicar la mitigación.
Consulte el sitio web de Clerk y su blog de seguridad para obtener la información más reciente sobre esta vulnerabilidad: [https://www.clerk.com/docs/security](https://www.clerk.com/docs/security)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.