Clerk: opt-in clerkFrontendApiProxy सुविधा में SSRF के कारण अनपेक्षित होस्ट को गुप्त कुंजियाँ लीक हो सकती हैं

इस SSRF भेद्यता का शोषण करने वाला एक हमलावर एप्लिकेशन के Clerk-Secret-Key को उजागर कर सकता है। यह कुंजी संवेदनशील जानकारी तक पहुंच प्रदान कर सकती है, जैसे कि उपयोगकर्ता डेटा और एप्लिकेशन कॉन्फ़िगरेशन। हमलावर इस कुंजी का उपयोग एप्लिकेशन के साथ छेड़छाड़ करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए कर सकता है। चूंकि Clerk-Secret-Key का खुलासा किया जा सकता है, इसलिए यह एप्लिकेशन की सुरक्षा के लिए एक गंभीर खतरा है। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए चिंताजनक है जो संवेदनशील डेटा को संसाधित करते हैं या महत्वपूर्ण कार्यों को करते हैं।

Applications built with @clerk/backend that have explicitly enabled the frontendApiProxy feature are at risk. This includes applications utilizing Clerk's authentication and authorization services and relying on the Clerk-Secret-Key for secure operation. Developers who have not recently reviewed their dependencies or are using older versions of @clerk/backend are particularly vulnerable.

• nodejs / server:

  npm list @clerk/backend

• nodejs / server:

  grep -r 'clerkFrontendApiProxy' ./src

• nodejs / server:

  find ./node_modules -name "@clerk/backend*" -print0 | xargs -0 npm ls

1. 2026-03-27Disclosure

   disclosure

1. आरक्षित2026-03-25
2. प्रकाशित2026-03-27
3. संशोधित2026-04-06
4. EPSS अद्यतन2026-04-09

इस भेद्यता को कम करने का सबसे प्रभावी तरीका @clerk/backend पैकेज को 3.2.3 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो frontendApiProxy सुविधा को अक्षम करने पर विचार करें, क्योंकि यह भेद्यता केवल इस सुविधा का उपयोग करने वाले अनुप्रयोगों को प्रभावित करती है। इसके अतिरिक्त, सुनिश्चित करें कि आपका Clerk-Secret-Key सुरक्षित रूप से संग्रहीत है और अनधिकृत पहुंच से सुरक्षित है। WAF नियमों को लागू करने पर विचार करें जो SSRF हमलों को रोकते हैं।