Plataforma
nodejs
Componente
auth-js
Corregido en
2.70.1
2.70.0
El CVE-2025-48370 afecta a la biblioteca auth-js, específicamente a las funciones getUserById, deleteUser, updateUserById, listFactors y deleteFactor. La falta de validación de UUIDs en los parámetros de entrada permite un ataque de recorrido de ruta, pudiendo ejecutar funciones API incorrectas. Esta vulnerabilidad afecta a versiones de auth-js menores o iguales a 2.70.0, y se ha solucionado en la versión 2.70.0.
Un atacante podría explotar esta vulnerabilidad manipulando los parámetros userId y factorId para que no sean UUIDs válidos. Esto permitiría al atacante engañar a la aplicación para que ejecute funciones API diferentes a las que pretendía, potencialmente accediendo a datos sensibles o realizando acciones no autorizadas. El impacto se limita a la capacidad de ejecutar funciones API incorrectas, no permitiendo la ejecución remota de código directamente. La severidad es baja debido a la necesidad de manipulación precisa de los parámetros y la falta de acceso directo al sistema subyacente.
Este CVE fue publicado el 27 de mayo de 2025. No se ha reportado explotación activa en entornos reales, ni se encuentra en el catálogo KEV de CISA. No se han identificado públicamente pruebas de concepto (PoCs) disponibles, lo que sugiere un riesgo de explotación relativamente bajo en el momento actual.
Applications utilizing auth-js version 2.70.0 or earlier, particularly those lacking robust input validation on user-supplied identifiers, are at risk. Shared hosting environments where multiple applications share the same auth-js instance could amplify the impact, as a vulnerability in one application could potentially expose others.
• nodejs:
npm list auth-js
# Check version. If <= 2.70.0, the system is vulnerable.• generic web:
curl -I 'https://your-application.com/api/auth/user/invalid-uuid' # Check for unexpected API responses or errors indicating path traversal.disclosure
Estado del Exploit
EPSS
0.21% (44% percentil)
CISA SSVC
La solución principal es actualizar la biblioteca auth-js a la versión 2.70.0 o superior, que incluye validaciones estrictas para asegurar que los parámetros userId y factorId sean UUIDs válidos (v4). Si la actualización no es inmediatamente posible, se recomienda implementar validaciones de entrada en la aplicación que utilice auth-js para verificar que los valores de userId y factorId sean UUIDs válidos antes de pasarlos a las funciones de la biblioteca. Implementar una capa de validación adicional en la aplicación puede actuar como una mitigación temporal. Después de la actualización, confirme que la validación de UUIDs está funcionando correctamente mediante pruebas unitarias.
Actualice la biblioteca auth-js a la versión 2.70.0 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización requiere que los valores suministrados por el usuario, como el ID de usuario, sean UUIDs válidos, previniendo así la ejecución de funciones de API incorrectas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-48370 is a path traversal vulnerability in the auth-js library, allowing attackers to potentially bypass intended API calls due to insufficient UUID validation.
You are affected if you are using auth-js version 2.70.0 or earlier. Upgrade to 2.70.0 or later to resolve the vulnerability.
Upgrade to auth-js version 2.70.0 or later. If immediate upgrade is not possible, implement input validation on user-supplied UUIDs.
There are currently no confirmed reports of active exploitation, but the ease of exploitation warrants caution.
Refer to the auth-js project's release notes and security advisories on their official repository for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.