प्लेटफ़ॉर्म
other
घटक
ash_authentication
में ठीक किया गया
4.1.1
Ash Authentication एक Elixir एप्लिकेशन के लिए प्रमाणीकरण ढांचा है। 4.1.0 से 4.4.9 से पहले के संस्करणों में, मैजिक लिंक रणनीति का उपयोग करने या मैन्युअल रूप से टोकन रद्द करने वाले अनुप्रयोगों में एक भेद्यता पाई गई है। इसका मतलब है कि रद्द किए गए टोकन को वैध माना जा सकता है, जिससे हमलावर पुन: उपयोग किए जा सकने वाले टोकन का उपयोग कर सकता है। 4.4.9 में इस समस्या का समाधान किया गया है।
इस भेद्यता का प्रभाव यह है कि हमलावर रद्द किए गए टोकन का उपयोग करके प्रमाणीकरण प्रक्रिया को बायपास कर सकता है। इसका मतलब है कि वे अनधिकृत पहुंच प्राप्त कर सकते हैं और संवेदनशील डेटा तक पहुंच सकते हैं। मैजिक लिंक रणनीति का उपयोग करने वाले अनुप्रयोगों के लिए, हमलावर एक वैध मैजिक लिंक टोकन प्राप्त कर सकता है और इसका उपयोग एप्लिकेशन में लॉग इन करने के लिए कर सकता है, भले ही उपयोगकर्ता ने पहले टोकन को रद्द कर दिया हो। मैन्युअल रूप से टोकन रद्द करने वाले अनुप्रयोगों के लिए, हमलावर रद्द किए गए टोकन का उपयोग करके अनधिकृत कार्रवाई कर सकता है।
यह भेद्यता सार्वजनिक रूप से 2025-02-11 को प्रकाशित हुई थी। अभी तक इस भेद्यता के सक्रिय शोषण के कोई संकेत नहीं हैं। KEV स्थिति का मूल्यांकन लंबित है।
Elixir applications utilizing Ash Authentication, particularly those employing the magic link authentication strategy or implementing custom token revocation mechanisms, are at risk. Shared hosting environments where multiple applications share the same Ash Authentication instance could also amplify the potential impact.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.16% (37% शतमक)
CISA SSVC
इस भेद्यता को कम करने के लिए, Ash Authentication को 4.4.9 या बाद के संस्करण में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, एप्लिकेशन में टोकन रद्द करने की कार्यक्षमता को लागू किया जा सकता है। यह सुनिश्चित करेगा कि रद्द किए गए टोकन को अब वैध नहीं माना जाता है। इसके अतिरिक्त, एप्लिकेशन में अतिरिक्त सुरक्षा नियंत्रण लागू किए जा सकते हैं, जैसे कि दो-कारक प्रमाणीकरण, ताकि अनधिकृत पहुंच के जोखिम को कम किया जा सके।
Actualice a la versión 4.4.9 o superior. Si está utilizando el instalador `mix ash_authentication.install`, ejecute `mix igniter.upgrade ash_authentication` para aplicar el parche. Alternativamente, elimine la acción genérica `:revoked?` en el recurso de token o aplique manualmente los cambios incluidos en el parche.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-25202 Ash Authentication 4.1.0 से 4.4.9 के बीच के संस्करणों में एक भेद्यता है, जहां रद्द किए गए टोकन को वैध माना जा सकता है, जिससे हमलावर पुन: उपयोग किए जा सकने वाले टोकन का उपयोग कर सकता है।
यदि आप Ash Authentication 4.1.0 से 4.4.9 के बीच के संस्करण का उपयोग कर रहे हैं और मैजिक लिंक रणनीति का उपयोग करते हैं या मैन्युअल रूप से टोकन रद्द करते हैं, तो आप प्रभावित हैं।
Ash Authentication को 4.4.9 या बाद के संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एप्लिकेशन में टोकन रद्द करने की कार्यक्षमता लागू करें।
अभी तक इस भेद्यता के सक्रिय शोषण के कोई संकेत नहीं हैं।
आधिकारिक सलाहकार के लिए Ash Authentication दस्तावेज़ देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।