Plataforma
python
Componente
fastapi-users
Corregido en
15.0.3
15.0.2
La vulnerabilidad CVE-2025-68481 afecta a la biblioteca fastapi-users en versiones hasta la 9.3.2. Esta falla de seguridad reside en la generación de tokens de estado OAuth, los cuales son completamente stateless y carecen de entropía por solicitud. Esto permite a un atacante potencialmente suplantar la identidad de un usuario, ya que los tokens no están vinculados a la sesión que inició el flujo OAuth.
La principal consecuencia de esta vulnerabilidad es la posibilidad de suplantación de identidad. Un atacante podría interceptar o manipular el token de estado OAuth, utilizándolo para autenticarse como un usuario legítimo sin necesidad de las credenciales correctas. Dado que los tokens no contienen información específica de la sesión, la detección de este tipo de ataque es más difícil. El riesgo se agrava en entornos donde la autenticación OAuth es un componente crítico de la seguridad, como en aplicaciones que acceden a recursos de terceros o que requieren una alta seguridad en el inicio de sesión.
Actualmente, no se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales. La vulnerabilidad se publicó el 19 de diciembre de 2025. No se ha listado en el KEV de CISA ni se han identificado campañas de ataque específicas. Sin embargo, la naturaleza de la vulnerabilidad, que permite la suplantación de identidad, la convierte en un objetivo potencial para atacantes.
Applications built with FastAPI and utilizing the fastapi-users library for OAuth authentication are at risk. This includes web applications, APIs, and microservices that rely on OAuth for user authentication and authorization. Specifically, deployments using older versions of fastapi-users (<= 9.3.2) and those that haven't implemented robust token validation practices are particularly vulnerable.
• python / server:
grep -r 'generate_state_token' /path/to/your/project/
# Look for instances where state_data is an empty dictionary.• python / supply-chain:
import os
import hashlib
def check_fastapi_users_version():
try:
import fastapi_users
version = fastapi_users.__version__
if version <= '9.3.2':
print(f"WARNING: fastapi-users version {version} is vulnerable.")
else:
print(f"fastapi-users version {version} is not vulnerable.")
except ImportError:
print("fastapi-users is not installed.")
check_fastapi_users_version()disclosure
Estado del Exploit
EPSS
0.06% (17% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar la biblioteca fastapi-users a la versión 15.0.2 o superior, donde se ha corregido el problema. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la validación rigurosa de los tokens de estado OAuth en el lado del servidor y la monitorización de los logs en busca de patrones sospechosos. Además, se puede considerar el uso de un Web Application Firewall (WAF) para detectar y bloquear solicitudes maliciosas que intenten explotar esta vulnerabilidad. Después de la actualización, confirme la corrección verificando que los tokens de estado OAuth generados incluyan la información necesaria para la vinculación a la sesión.
Actualice la biblioteca FastAPI Users a la versión 15.0.2 o superior. Esto corrige la vulnerabilidad de Cross-Site Request Forgery (CSRF) en el flujo de inicio de sesión de OAuth. La actualización mitiga el riesgo de que un atacante tome el control de la cuenta de un usuario.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-68481 es una vulnerabilidad en la biblioteca fastapi-users que permite la suplantación de identidad debido a la falta de entropía en los tokens de estado OAuth.
Si está utilizando fastapi-users en una versión inferior a 15.0.2, es vulnerable a esta vulnerabilidad.
Actualice fastapi-users a la versión 15.0.2 o superior para corregir la vulnerabilidad.
Actualmente no se ha confirmado la explotación activa, pero la vulnerabilidad representa un riesgo potencial.
Consulte el repositorio oficial de fastapi-users en GitHub para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.