प्लेटफ़ॉर्म
python
घटक
fastapi-users
में ठीक किया गया
15.0.3
15.0.2
FastAPI Users के संस्करण 9.3.2 से कम या उसके बराबर में OAuth लॉगिन स्टेट टोकन में एक भेद्यता पाई गई है। यह भेद्यता स्टेट टोकन में पर्याप्त एंट्रॉपी की कमी के कारण है, जिससे हमलावर सत्र अपहरण कर सकते हैं। प्रभावित संस्करणों में FastAPI Users 9.3.2 और उससे पहले के संस्करण शामिल हैं। इस समस्या को संस्करण 15.0.2 में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को OAuth लॉगिन प्रक्रिया के दौरान उत्पन्न स्टेट टोकन को अपहरण करने की अनुमति देती है। चूंकि स्टेट टोकन में कोई प्रति-अनुरोध एंट्रॉपी नहीं होती है, इसलिए हमलावर एक वैध सत्र को हाईजैक कर सकते हैं और उपयोगकर्ता की ओर से कार्रवाई कर सकते हैं। इसका परिणाम संवेदनशील डेटा तक अनधिकृत पहुंच, खाता नियंत्रण का नुकसान और अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए गंभीर है जो OAuth का उपयोग करके तीसरे पक्ष के प्रदाताओं के माध्यम से प्रमाणीकरण पर निर्भर करते हैं।
यह भेद्यता सार्वजनिक रूप से 2025-12-19 को उजागर की गई थी। अभी तक सक्रिय शोषण के कोई ठोस प्रमाण नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है। इस भेद्यता को CISA KEV सूची में जोड़ा जाना बाकी है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, लेकिन अभी तक व्यापक रूप से ज्ञात नहीं हैं।
Applications built with FastAPI and utilizing the fastapi-users library for OAuth authentication are at risk. This includes web applications, APIs, and microservices that rely on OAuth for user authentication and authorization. Specifically, deployments using older versions of fastapi-users (<= 9.3.2) and those that haven't implemented robust token validation practices are particularly vulnerable.
• python / server:
grep -r 'generate_state_token' /path/to/your/project/
# Look for instances where state_data is an empty dictionary.• python / supply-chain:
import os
import hashlib
def check_fastapi_users_version():
try:
import fastapi_users
version = fastapi_users.__version__
if version <= '9.3.2':
print(f"WARNING: fastapi-users version {version} is vulnerable.")
else:
print(f"fastapi-users version {version} is not vulnerable.")
except ImportError:
print("fastapi-users is not installed.")
check_fastapi_users_version()disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (17% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, प्रभावित संस्करणों से FastAPI Users को तुरंत संस्करण 15.0.2 में अपडेट करना आवश्यक है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके स्टेट टोकन को मान्य करने के लिए नियम लागू कर सकते हैं। इसके अतिरिक्त, आप OAuth प्रवाह को सुरक्षित करने के लिए अतिरिक्त सुरक्षा उपाय लागू कर सकते हैं, जैसे कि दो-कारक प्रमाणीकरण (2FA) को लागू करना। अपडेट के बाद, यह सत्यापित करें कि स्टेट टोकन पीढ़ी में सुधार हुआ है और कोई भी पुराना टोकन अमान्य हो गया है।
FastAPI Users लाइब्रेरी को संस्करण 15.0.2 या उससे ऊपर के संस्करण में अपडेट करें। यह OAuth लॉगिन प्रवाह में क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता को ठीक करता है। अपडेट एक हमलावर द्वारा उपयोगकर्ता के खाते को नियंत्रित करने के जोखिम को कम करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-68481 FastAPI Users के OAuth लॉगिन स्टेट टोकन में एक भेद्यता है, जहां स्टेट टोकन में पर्याप्त एंट्रॉपी की कमी के कारण सत्र अपहरण का खतरा है।
यदि आप FastAPI Users के संस्करण 9.3.2 से कम या उसके बराबर का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, प्रभावित संस्करणों से FastAPI Users को तुरंत संस्करण 15.0.2 में अपडेट करें।
अभी तक सक्रिय शोषण के कोई ठोस प्रमाण नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है।
आधिकारिक FastAPI सलाहकार के लिए, कृपया FastAPI Users के GitHub रिपॉजिटरी की जांच करें: [https://github.com/fastapi/fastapi-users](https://github.com/fastapi/fastapi-users)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।