Plateforme
other
Composant
ash_authentication
Corrigé dans
4.1.1
CVE-2025-25202 concerne une vulnérabilité de réutilisation de jetons dans Ash Authentication, un framework d'authentification pour applications Elixir. Les applications utilisant la stratégie de lien magique (magic link) ou effectuant manuellement la révocation de jetons, et qui n'ont pas implémenté de mécanisme de révocation personnalisé, sont potentiellement affectées. Cette vulnérabilité permet à des jetons révoqués d'être considérés comme valides.
L'impact principal de cette vulnérabilité réside dans la possibilité pour un attaquant de réutiliser des jetons de lien magique après leur révocation. Cela signifie qu'un attaquant pourrait, par exemple, obtenir un jeton de lien magique, le révoquer, puis l'utiliser ultérieurement pour accéder au compte d'un utilisateur. Bien que les jetons de lien magique expirent, cette vulnérabilité permet de contourner la révocation et d'exploiter un jeton avant son expiration. Le risque est accru si les jetons de lien magique sont stockés de manière non sécurisée ou si les processus de révocation ne sont pas correctement implémentés. Cette vulnérabilité ne concerne pas les applications qui ont implémenté une fonctionnalité de révocation de jetons personnalisée.
Cette vulnérabilité a été rendue publique le 2025-02-11. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun PoC public n'a été rapporté. La vulnérabilité n'est pas répertoriée sur le KEV de CISA. La sévérité est en cours d'évaluation.
Elixir applications utilizing Ash Authentication, particularly those employing the magic link authentication strategy or implementing custom token revocation mechanisms, are at risk. Shared hosting environments where multiple applications share the same Ash Authentication instance could also amplify the potential impact.
disclosure
Statut de l'Exploit
EPSS
0.16% (percentile 37%)
CISA SSVC
La mitigation principale consiste à mettre à jour Ash Authentication vers la version 4.4.9 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est crucial d'implémenter une fonctionnalité de révocation de jetons personnalisée dans votre application. Cette fonctionnalité doit garantir que les jetons révoqués sont effectivement invalidés et ne peuvent plus être utilisés. En attendant, il est recommandé de renforcer les mesures de sécurité autour des jetons de lien magique, telles que la limitation de leur durée de vie et la surveillance de leur utilisation. Après la mise à jour, vérifiez que la révocation des jetons fonctionne correctement en testant la réutilisation d'un jeton révoqué.
Actualice a la versión 4.4.9 o superior. Si está utilizando el instalador `mix ash_authentication.install`, ejecute `mix igniter.upgrade ash_authentication` para aplicar el parche. Alternativamente, elimine la acción genérica `:revoked?` en el recurso de token o aplique manualmente los cambios incluidos en el parche.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-25202 is a vulnerability in Ash Authentication affecting versions 4.1.0 through 4.4.8. It allows revoked tokens to be reused, potentially granting unauthorized access.
You are affected if your Elixir application uses Ash Authentication versions 4.1.0 to 4.4.8 and utilizes the magic link strategy or manual token revocation.
Upgrade Ash Authentication to version 4.4.9 or later. If immediate upgrade is not possible, implement custom token revocation logic.
There are currently no confirmed reports of active exploitation, but the vulnerability's potential impact warrants prompt mitigation.
Refer to the Ash Authentication project's official repository and documentation for the latest advisory and security updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.