Plateforme
python
Composant
fastapi-users
Corrigé dans
15.0.3
15.0.2
Une vulnérabilité a été découverte dans la bibliothèque fastapi-users, affectant les versions inférieures ou égales à 9.3.2. Cette faille concerne la génération des tokens d'état OAuth, qui sont stateless et ne contiennent aucune donnée permettant de les lier à la session d'authentification initiale. L'absence d'entropie dans ces tokens expose les applications à un risque de détournement d'authentification. La mise à jour vers la version 15.0.2 corrige cette vulnérabilité.
Cette vulnérabilité permet à un attaquant de potentiellement compromettre l'authentification OAuth d'une application utilisant fastapi-users. En l'absence de données spécifiques liées à la session, un attaquant pourrait intercepter ou générer un token d'état valide, permettant un accès non autorisé aux ressources protégées par OAuth. Le risque est exacerbé si l'application ne met pas en œuvre de mesures de sécurité supplémentaires pour valider l'authenticité des tokens. Bien qu'il n'y ait pas de cas d'exploitation publique connus à ce jour, la simplicité de l'exploitation potentielle rend cette vulnérabilité préoccupante.
Cette vulnérabilité a été rendue publique le 19 décembre 2025. Elle n'est pas répertoriée sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la simplicité de l'exploitation potentielle et de l'absence de mesures de protection adéquates dans les versions vulnérables. Il n'existe pas de preuve de concept (PoC) publique largement diffusée, mais la description de la vulnérabilité permet une reproduction relativement aisée.
Applications built with FastAPI and utilizing the fastapi-users library for OAuth authentication are at risk. This includes web applications, APIs, and microservices that rely on OAuth for user authentication and authorization. Specifically, deployments using older versions of fastapi-users (<= 9.3.2) and those that haven't implemented robust token validation practices are particularly vulnerable.
• python / server:
grep -r 'generate_state_token' /path/to/your/project/
# Look for instances where state_data is an empty dictionary.• python / supply-chain:
import os
import hashlib
def check_fastapi_users_version():
try:
import fastapi_users
version = fastapi_users.__version__
if version <= '9.3.2':
print(f"WARNING: fastapi-users version {version} is vulnerable.")
else:
print(f"fastapi-users version {version} is not vulnerable.")
except ImportError:
print("fastapi-users is not installed.")
check_fastapi_users_version()disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 17%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque fastapi-users vers la version 15.0.2 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé d'examiner attentivement le code de l'application pour identifier et renforcer les mécanismes de validation des tokens OAuth. L'ajout de mesures de sécurité supplémentaires, telles que la validation de la source du token et la limitation de la durée de vie des tokens, peut aider à atténuer le risque. En attendant la mise à jour, une solution temporaire pourrait consister à désactiver temporairement l'authentification OAuth, si cela est possible sans impacter significativement la fonctionnalité de l'application.
Mettez à jour la bibliothèque FastAPI Users à la version 15.0.2 ou supérieure. Cela corrige la vulnérabilité Cross-Site Request Forgery (CSRF) dans le flux de connexion OAuth. La mise à jour atténue le risque qu'un attaquant prenne le contrôle du compte d'un utilisateur.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-68481 est une vulnérabilité OAuth dans la bibliothèque fastapi-users qui permet à un attaquant de potentiellement compromettre l'authentification OAuth en raison de tokens d'état stateless.
Vous êtes affecté si votre application utilise fastapi-users et que vous utilisez une version inférieure ou égale à 9.3.2. Vérifiez votre version et mettez à jour si nécessaire.
La solution est de mettre à jour fastapi-users vers la version 15.0.2 ou supérieure. Si la mise à jour n'est pas possible immédiatement, renforcez la validation des tokens OAuth.
À ce jour, il n'y a pas de preuve d'exploitation active connue, mais la vulnérabilité est facilement exploitable et mérite une attention particulière.
Consultez le dépôt GitHub de fastapi-users pour les informations officielles et les notes de publication concernant cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.