Plateforme
nodejs
Composant
@clerk/backend
Corrigé dans
0.1.1
2.0.1
3.0.1
3.1.1
3.2.3
La vulnérabilité CVE-2026-34076 représente une faille de type Server-Side Request Forgery (SSRF) au sein de la fonction clerkFrontendApiProxy de la bibliothèque @clerk/backend. Cette faille permet à un attaquant non authentifié d'exploiter une requête malveillante pour forcer le proxy à envoyer la clé secrète Clerk-Secret-Key de l'application vers un serveur contrôlé par l'attaquant. Cette vulnérabilité affecte les versions de @clerk/backend antérieures à la version 3.2.3, mais pas les utilisateurs de @clerk/nextjs.
L'impact principal de cette vulnérabilité réside dans la divulgation potentielle de la clé secrète Clerk-Secret-Key. Cette clé est cruciale pour l'authentification et l'autorisation des requêtes vers les services Clerk. Si un attaquant parvient à obtenir cette clé, il peut potentiellement compromettre la sécurité de l'application, accéder à des données sensibles, et effectuer des actions non autorisées au nom de l'utilisateur. L'exploitation réussie de cette vulnérabilité pourrait permettre un accès non autorisé aux données des utilisateurs et une manipulation des fonctionnalités de l'application. Bien que la fonctionnalité frontendApiProxy ne soit pas activée par défaut, les applications qui l'ont activée sont particulièrement vulnérables.
Cette vulnérabilité a été rendue publique le 2026-03-27. Il n'y a pas d'indications d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Bien qu'un proof-of-concept public n'ait pas été largement diffusé, la nature de la vulnérabilité SSRF la rend potentiellement exploitable par des attaquants disposant des compétences nécessaires.
Applications built with @clerk/backend that have explicitly enabled the frontendApiProxy feature are at risk. This includes applications utilizing Clerk's authentication and authorization services and relying on the Clerk-Secret-Key for secure operation. Developers who have not recently reviewed their dependencies or are using older versions of @clerk/backend are particularly vulnerable.
• nodejs / server:
npm list @clerk/backend• nodejs / server:
grep -r 'clerkFrontendApiProxy' ./src• nodejs / server:
find ./node_modules -name "@clerk/backend*" -print0 | xargs -0 npm lsdisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 14%)
CISA SSVC
Vecteur CVSS
La mitigation la plus efficace consiste à mettre à jour la bibliothèque @clerk/backend vers la version 3.2.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation temporaires peuvent être mises en place. Il est crucial de désactiver la fonctionnalité frontendApiProxy si elle n'est pas essentielle. En outre, une validation stricte des entrées utilisateur et une configuration appropriée du pare-feu peuvent aider à réduire le risque d'exploitation. Après la mise à jour, vérifiez la configuration de votre application pour vous assurer que la fonctionnalité frontendApiProxy est utilisée de manière sécurisée et que la clé secrète Clerk-Secret-Key est correctement protégée.
Mettez à jour les paquets @clerk/hono, @clerk/express, @clerk/backend et @clerk/fastify aux versions 0.1.5, 2.0.7, 3.2.3 et 3.1.5 respectivement, ou versions supérieures. Cela corrige la vulnérabilité SSRF qui pourrait exposer la clé secrète de Clerk.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34076 is a Server-Side Request Forgery (SSRF) vulnerability in the @clerk/backend Node.js package, allowing attackers to potentially extract the Clerk-Secret-Key.
You are affected if you use @clerk/backend versions prior to 3.2.3 and have enabled the frontendApiProxy feature. Users of @clerk/nextjs are not affected.
Upgrade to @clerk/backend version 3.2.3 or disable the frontendApiProxy feature in your application configuration.
There is currently no indication of active exploitation of CVE-2026-34076.
Refer to the Clerk security advisory for detailed information and updates: [https://clerk.com/docs/security](https://clerk.com/docs/security)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.