प्लेटफ़ॉर्म
nodejs
घटक
@auth0/nextjs-auth0
में ठीक किया गया
4.12.1
4.18.0
CVE-2026-40155 @auth0/nextjs-auth0 SDK में एक भेद्यता है जो एक साथ nonce पुनः प्रयास अनुरोधों के कारण टोकन अनुरोध परिणामों के लिए अनुचित लुकअप का कारण बन सकती है। इससे संभावित रूप से प्रमाणीकरण संबंधी समस्याएं हो सकती हैं। यह भेद्यता @auth0/nextjs-auth0 के संस्करण 4.12.0 से 4.17.0 तक के संस्करणों को प्रभावित करती है जो proxy handler /me/* और /my-org/* के साथ DPoP सक्षम के साथ उपयोग किए जाते हैं। संस्करण 4.18.0 में अपडेट करके इस समस्या का समाधान किया जा सकता है।
CVE-2026-40155 @auth0/nextjs-auth0 SDK के संस्करण 4.12.0 से 4.17.0 को प्रभावित करता है। यह तब होता है जब कई समवर्ती अनुरोध जो नॉनस रीट्राई को ट्रिगर करते हैं, वे प्रॉक्सी कैश फ़ेचर को टोकन अनुरोध परिणामों के लिए अनुचित लुकअप करने का कारण बन सकते हैं। यह एक हमलावर को विशिष्ट परिस्थितियों में प्रमाणीकरण प्रक्रिया को बाधित या हेरफेर करने की अनुमति दे सकता है, जिससे एप्लिकेशन सुरक्षा से समझौता हो सकता है। यह भेद्यता उन अनुप्रयोगों तक सीमित है जो /me/* और /my-org/* प्रॉक्सी हैंडलर का उपयोग करते हैं और DPoP सक्षम है। इस जोखिम को कम करने के लिए संस्करण 4.18.0 या उच्चतर में अपग्रेड करना महत्वपूर्ण है।
इस भेद्यता का शोषण करने के लिए विशिष्ट शर्तों की आवश्यकता होती है: प्रभावित SDK संस्करणों का उपयोग, /me/* और /my-org/* के साथ प्रॉक्सी कॉन्फ़िगरेशन और DPoP सक्षम। एक हमलावर को प्रॉक्सी कैश फ़ेचर में दोष का शोषण करने के लिए नॉनस रीट्राई को ट्रिगर करने वाले कई समवर्ती अनुरोधों को व्यवस्थित करना होगा। इस शोषण की जटिलता समग्र जोखिम को सीमित करती है, लेकिन टोकन हेरफेर की संभावना तत्काल अपडेट को उचित ठहराती है।
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
अनुशंसित समाधान @auth0/nextjs-auth0 SDK को संस्करण 4.18.0 या उच्चतर में अपग्रेड करना है। इस संस्करण में एक फिक्स शामिल है जो प्रॉक्सी कैश फ़ेचर लॉजिक को संबोधित करता है, अनुचित लुकअप को रोकता है और भेद्यता को कम करता है। यदि तत्काल अपग्रेड संभव नहीं है, तो संभावित कमजोरियों की पहचान करने के लिए अपने प्रॉक्सी और DPoP कॉन्फ़िगरेशन की सावधानीपूर्वक समीक्षा करें। टोकन अनुरोधों से संबंधित असामान्य पैटर्न के लिए एप्लिकेशन लॉग की निगरानी भी संभावित शोषण प्रयासों का पता लगाने में मदद कर सकती है। किसी भी कॉन्फ़िगरेशन परिवर्तन या SDK अपडेट के बाद पूरी तरह से परीक्षण करने की सिफारिश की जाती है।
Actualice la Auth0 Next.js SDK a la versión 4.18.0 o superior para mitigar el riesgo de una búsqueda incorrecta en la caché del proxy. Asegúrese de que su proyecto no utilice la combinación vulnerable de versiones y la configuración del proxy handler /me/* y /my-org/* con DPoP habilitado.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
नॉनस एक अद्वितीय, एक बार उपयोग किया जाने वाला नंबर है जिसका उपयोग प्रमाणीकरण प्रोटोकॉल में रीप्ले हमलों को रोकने के लिए किया जाता है।
DPoP (प्रूफ ऑफ़ पोज़ेशन) एक सुरक्षा तंत्र है जो क्लाइंट को कुंजी को स्वयं प्रकट किए बिना निजी कुंजी के कब्जे को साबित करने की अनुमति देता है।
यह एक घटक है जो प्रदर्शन में सुधार के लिए टोकन अनुरोध परिणामों को कैश करता है। भेद्यता इस घटक द्वारा नॉनस रीट्राई को कैसे संभाला जाता है इसमें निहित है।
आप अपने प्रोजेक्ट में npm list @auth0/nextjs-auth0 या yarn list @auth0/nextjs-auth0 चलाकर अपने SDK संस्करण की जांच कर सकते हैं।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो अपने प्रॉक्सी और DPoP कॉन्फ़िगरेशन की जांच करें, लॉग की निगरानी करें और अनुरोध दर को सीमित करने जैसे अतिरिक्त सुरक्षा उपायों पर विचार करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।