Plataforma
other
Componente
ash_authentication
Corregido en
4.1.1
CVE-2025-25202 es una vulnerabilidad que afecta al framework de autenticación Ash Authentication para aplicaciones Elixir. Esta vulnerabilidad permite la reutilización de tokens revocados, lo que compromete la seguridad de la autenticación. Afecta a versiones desde 4.1.0 hasta, pero sin incluir, la versión 4.4.9. La solución es actualizar a la versión 4.4.9 para mitigar el riesgo.
La principal consecuencia de esta vulnerabilidad es que los tokens revocados pueden ser utilizados para autenticarse en el sistema, permitiendo a un atacante acceder a recursos protegidos como si fuera un usuario legítimo. En el caso específico de la estrategia de enlace mágico, los tokens generados pueden ser reutilizados hasta su expiración, lo que representa un riesgo significativo si un atacante obtiene acceso a un token válido. Esta situación podría permitir el acceso no autorizado a datos sensibles, la modificación de información crítica o incluso la ejecución de acciones en nombre del usuario afectado. La severidad del impacto depende de la sensibilidad de los datos y las funcionalidades a las que se pueda acceder a través de la autenticación.
Esta vulnerabilidad fue publicada el 11 de febrero de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas. No existen públicamente pruebas de concepto (PoC) disponibles en el momento de la redacción. Se recomienda monitorear las fuentes de información de seguridad para detectar cualquier desarrollo posterior.
Elixir applications utilizing Ash Authentication, particularly those employing the magic link authentication strategy or implementing custom token revocation mechanisms, are at risk. Shared hosting environments where multiple applications share the same Ash Authentication instance could also amplify the potential impact.
disclosure
Estado del Exploit
EPSS
0.16% (37% percentil)
CISA SSVC
La mitigación principal para esta vulnerabilidad es actualizar Ash Authentication a la versión 4.4.9 o superior, donde se ha corregido el problema. Si la actualización no es inmediatamente posible, se recomienda revisar el código de la aplicación para identificar cualquier implementación personalizada de revocación de tokens y asegurarse de que funcione correctamente. Aunque no es una solución completa, se puede considerar la implementación de medidas de seguridad adicionales, como la rotación frecuente de tokens y la limitación del tiempo de vida de los tokens. Después de la actualización, confirmar la correcta funcionalidad de la autenticación y la revocación de tokens mediante pruebas exhaustivas.
Actualice a la versión 4.4.9 o superior. Si está utilizando el instalador `mix ash_authentication.install`, ejecute `mix igniter.upgrade ash_authentication` para aplicar el parche. Alternativamente, elimine la acción genérica `:revoked?` en el recurso de token o aplique manualmente los cambios incluidos en el parche.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-25202 is a vulnerability in Ash Authentication affecting versions 4.1.0 through 4.4.8. It allows revoked tokens to be reused, potentially granting unauthorized access.
You are affected if your Elixir application uses Ash Authentication versions 4.1.0 to 4.4.8 and utilizes the magic link strategy or manual token revocation.
Upgrade Ash Authentication to version 4.4.9 or later. If immediate upgrade is not possible, implement custom token revocation logic.
There are currently no confirmed reports of active exploitation, but the vulnerability's potential impact warrants prompt mitigation.
Refer to the Ash Authentication project's official repository and documentation for the latest advisory and security updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.