प्लेटफ़ॉर्म
python
घटक
authlib
में ठीक किया गया
1.0.1
1.6.6
Authlib लाइब्रेरी में एक सुरक्षा भेद्यता पाई गई है, जिसे कैश-बैक स्टेट स्टोरेज CSRF के रूप में जाना जाता है। यह भेद्यता हमलावरों को एक-क्लिक खाते पर नियंत्रण करने की अनुमति दे सकती है। यह समस्या Authlib के 1.6.5 और उससे पहले के संस्करणों को प्रभावित करती है। 1.6.6 संस्करण में इस समस्या का समाधान किया गया है।
यह CSRF भेद्यता तब उत्पन्न होती है जब कैश-बैक स्टेट/रिक्वेस्ट-टोकन स्टोरेज उपयोगकर्ता सत्र से बंधा नहीं होता है। इसका मतलब है कि हमलावर, जो एक वैध स्टेट वैल्यू प्राप्त करता है (एक हमलावर-आरंभित प्रमाणीकरण प्रवाह के माध्यम से आसानी से प्राप्त किया जा सकता है), एक CSRF हमले को अंजाम दे सकता है और उपयोगकर्ता के खाते पर नियंत्रण कर सकता है। इस भेद्यता का उपयोग करके, हमलावर उपयोगकर्ता की जानकारी तक पहुंच प्राप्त कर सकता है, उपयोगकर्ता की ओर से कार्रवाई कर सकता है, और संभावित रूप से सिस्टम में आगे प्रवेश कर सकता है। यह विशेष रूप से उन अनुप्रयोगों के लिए गंभीर है जो प्रमाणीकरण के लिए Authlib का उपयोग करते हैं और स्टेट वैल्यू को सुरक्षित रूप से प्रबंधित नहीं करते हैं।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और Snyk Security Labs द्वारा रिपोर्ट की गई थी। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) अभी तक नहीं देखा गया है, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है। CVE को 2026-01-08 को प्रकाशित किया गया था। इस भेद्यता की संभावना मध्यम है, क्योंकि यह एक सामान्य CSRF भेद्यता है और Authlib का व्यापक रूप से उपयोग किया जाता है।
Applications utilizing Authlib for OAuth 2.0 or OpenID Connect authentication, particularly those relying solely on Authlib's built-in state management without additional CSRF protections, are at significant risk. This includes web applications, APIs, and microservices that integrate with Authlib for authentication purposes.
• python / server:
import hashlib
def check_authlib_version():
import authlib
version = authlib.__version__
if version <= '1.6.5':
print(f"Authlib version {version} is vulnerable to CVE-2025-68158. Upgrade to 1.6.6 or later.")
else:
print(f"Authlib version {version} is not vulnerable.")
check_authlib_version()• generic web: Use a web proxy or browser extension to inspect network traffic during authentication flows. Look for requests containing state parameters that are not properly validated or tied to the user's session.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (7% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Authlib को 1.6.6 या उसके बाद के संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, सुनिश्चित करें कि स्टेट वैल्यू को उपयोगकर्ता सत्र से सुरक्षित रूप से बांधा गया है। आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके CSRF हमलों को भी ब्लॉक कर सकते हैं। इसके अतिरिक्त, अपने एप्लिकेशन के एक्सेस और त्रुटि लॉग की नियमित रूप से निगरानी करें ताकि किसी भी असामान्य गतिविधि का पता लगाया जा सके जो इस भेद्यता के शोषण का संकेत दे सकती है। अपग्रेड के बाद, यह सत्यापित करें कि स्टेट वैल्यू अब उपयोगकर्ता सत्र से सुरक्षित रूप से बंधे हैं और CSRF हमले संभव नहीं हैं।
Authlib लाइब्रेरी को संस्करण 1.6.6 या उच्चतर में अपडेट करें। यह आरंभकर्ता उपयोगकर्ता सत्र से Cache-backed state/request-token storage को बांधकर CSRF भेद्यता को ठीक करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-68158 Authlib लाइब्रेरी में कैश-बैक स्टेट स्टोरेज CSRF भेद्यता है, जिससे हमलावर एक-क्लिक खाते पर नियंत्रण कर सकता है।
यदि आप Authlib के 1.6.5 या उससे पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Authlib को 1.6.6 या उसके बाद के संस्करण में अपडेट करें।
हालांकि सार्वजनिक POC उपलब्ध नहीं है, भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है।
Snyk की सुरक्षा सलाहकारिका देखें: [https://snyk.io/vuln/SNYK-PYTHON-AUTHLIB-1043270](https://snyk.io/vuln/SNYK-PYTHON-AUTHLIB-1043270)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।