Plateforme
nodejs
Composant
@auth0/nextjs-auth0
Corrigé dans
4.12.1
4.18.0
La vulnérabilité CVE-2026-40155 affecte la bibliothèque @auth0/nextjs-auth0 entre les versions 4.12.0 et 4.17.0. Elle se manifeste par des recherches incorrectes de jetons dues à des requêtes simultanées déclenchant une nouvelle tentative de nonce. Cette faille peut potentiellement compromettre l'authentification des utilisateurs dans les applications utilisant le proxy handler /me/* et /my-org/* avec DPoP activé. Une mise à jour vers la version 4.18.0 corrige cette vulnérabilité.
La vulnérabilité CVE-2026-40155 affecte les versions 4.12.0 à 4.17.0 du SDK @auth0/nextjs-auth0. Elle se produit lorsque plusieurs requêtes simultanées déclenchant une nouvelle tentative de nonce peuvent amener le récupérateur de cache proxy à effectuer des recherches incorrectes pour les résultats de la requête de jeton. Cela pourrait potentiellement permettre à un attaquant, dans des conditions spécifiques, d'intercepter ou de manipuler le processus d'authentification, compromettant potentiellement la sécurité de l'application. La vulnérabilité est conditionnée par l'utilisation du gestionnaire proxy /me/* et /my-org/* avec DPoP activé. La mise à jour vers la version 4.18.0 ou supérieure est cruciale pour atténuer ce risque.
L'exploitation de cette vulnérabilité nécessite des conditions spécifiques : l'utilisation de versions affectées du SDK, la configuration du proxy avec /me/* et /my-org/*, et DPoP activé. Un attaquant devrait orchestrer plusieurs requêtes simultanées déclenchant de nouvelles tentatives de nonce pour exploiter le défaut du récupérateur de cache proxy. La complexité de cette exploitation limite le risque global, mais la possibilité de manipulation des jetons d'authentification justifie une mise à jour immédiate.
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à jour vers la version 4.18.0 ou supérieure du SDK @auth0/nextjs-auth0. Cette version inclut une correction qui traite de la logique du récupérateur de cache proxy, empêchant les recherches incorrectes et atténuant la vulnérabilité. Si la mise à jour immédiate n'est pas possible, examinez attentivement la configuration de votre proxy et de DPoP pour identifier d'éventuelles faiblesses. Surveiller les journaux de l'application à la recherche de schémas inhabituels liés aux requêtes de jeton peut également aider à détecter d'éventuelles tentatives d'exploitation. Des tests approfondis après toute modification de la configuration ou mise à jour du SDK sont recommandés.
Actualice la Auth0 Next.js SDK a la versión 4.18.0 o superior para mitigar el riesgo de una búsqueda incorrecta en la caché del proxy. Asegúrese de que su proyecto no utilice la combinación vulnerable de versiones y la configuración del proxy handler /me/* y /my-org/* con DPoP habilitado.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Un nonce est un nombre unique utilisé une seule fois pour prévenir les attaques par relecture dans les protocoles d'authentification.
DPoP (Proof of Possession) est un mécanisme de sécurité qui permet à un client de prouver qu'il possède une clé privée sans révéler la clé elle-même.
C'est un composant qui met en cache les résultats des requêtes de jeton pour améliorer les performances. La vulnérabilité réside dans la façon dont ce composant gère les nouvelles tentatives de nonce.
Vous pouvez vérifier la version du SDK en exécutant npm list @auth0/nextjs-auth0 ou yarn list @auth0/nextjs-auth0 dans votre projet.
Si vous ne pouvez pas mettre à jour immédiatement, examinez la configuration de votre proxy et de DPoP, surveillez les journaux et envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que la limitation du taux de requêtes.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.