Plataforma
python
Componente
authlib
Corregido en
1.0.1
1.6.6
Se ha descubierto una vulnerabilidad de Cross-Site Request Forgery (CSRF) en la biblioteca Authlib, que puede resultar en la toma de control de una cuenta con un solo clic. Esta vulnerabilidad se debe a que el almacenamiento en caché del estado/token de solicitud no está vinculado a la sesión de usuario iniciada, lo que facilita los ataques CSRF. La vulnerabilidad afecta a las versiones de Authlib menores o iguales a 1.6.5. La solución es actualizar a la versión 1.6.6.
Un atacante puede explotar esta vulnerabilidad para realizar acciones en nombre de un usuario autenticado sin su conocimiento o consentimiento. El ataque se basa en la obtención de un valor de estado válido, que puede obtenerse fácilmente a través de un flujo de autenticación iniciado por el atacante. Esto permite al atacante forzar al usuario a realizar acciones no deseadas, como cambiar su contraseña, realizar transacciones o acceder a información confidencial. La toma de control de la cuenta puede tener consecuencias graves, incluyendo el robo de datos, la pérdida financiera y el daño a la reputación. Esta vulnerabilidad es particularmente preocupante en aplicaciones que utilizan Authlib para la autenticación, ya que permite a los atacantes evadir los mecanismos de seguridad estándar.
Esta vulnerabilidad fue descubierta por el equipo de Seguridad de Snyk Labs y se ha publicado públicamente. La probabilidad de explotación se considera media, dado que la vulnerabilidad es relativamente fácil de explotar y Authlib es una biblioteca ampliamente utilizada. No se han reportado casos de explotación activa en la naturaleza, pero la disponibilidad de un proof-of-concept aumenta el riesgo. La vulnerabilidad ha sido añadida al catálogo KEV de CISA.
Applications utilizing Authlib for OAuth 2.0 or OpenID Connect authentication, particularly those relying solely on Authlib's built-in state management without additional CSRF protections, are at significant risk. This includes web applications, APIs, and microservices that integrate with Authlib for authentication purposes.
• python / server:
import hashlib
def check_authlib_version():
import authlib
version = authlib.__version__
if version <= '1.6.5':
print(f"Authlib version {version} is vulnerable to CVE-2025-68158. Upgrade to 1.6.6 or later.")
else:
print(f"Authlib version {version} is not vulnerable.")
check_authlib_version()• generic web: Use a web proxy or browser extension to inspect network traffic during authentication flows. Look for requests containing state parameters that are not properly validated or tied to the user's session.
disclosure
Estado del Exploit
EPSS
0.03% (7% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 1.6.6 de Authlib, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación del estado del lado del servidor y el uso de tokens CSRF. Además, se debe revisar y fortalecer la lógica de autenticación de la aplicación para garantizar que las acciones críticas requieran una confirmación explícita del usuario. En entornos donde se utiliza un proxy o WAF, se pueden configurar reglas para detectar y bloquear solicitudes CSRF sospechosas. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que el estado del token se vincula correctamente a la sesión del usuario.
Actualice la biblioteca Authlib a la versión 1.6.6 o superior. Esto corrige la vulnerabilidad CSRF al vincular el almacenamiento de estado/token de solicitud respaldado por caché a la sesión del usuario iniciador.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-68158 es una vulnerabilidad CSRF en la biblioteca Authlib que permite la toma de control de la cuenta con un solo clic debido a un almacenamiento en caché del estado no vinculado a la sesión del usuario.
Si está utilizando Authlib en la versión 1.6.5 o anterior, es vulnerable a esta vulnerabilidad. Verifique su versión y actualice a 1.6.6.
La solución es actualizar a la versión 1.6.6 de Authlib. Si no puede actualizar inmediatamente, implemente validación del estado del lado del servidor y tokens CSRF.
Aunque no se han reportado casos de explotación activa, la disponibilidad de un proof-of-concept aumenta el riesgo. Monitoree sus sistemas y aplique la mitigación.
Consulte el anuncio de seguridad de Snyk Labs: [https://snyk.io/vuln/SNYK-PYTHON-AUTHLIB-1043311](https://snyk.io/vuln/SNYK-PYTHON-AUTHLIB-1043311)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.