Authlib にはワンクリックアカウント乗っ取りの脆弱性があります

このCSRF脆弱性は、攻撃者がAuthlibを使用するアプリケーションのユーザーアカウントを乗っ取ることを可能にします。攻撃者は、有効なステート値を簡単に取得し、認証フローを悪用することで、ユーザーの許可なしにアカウントを制御できます。これにより、機密情報の漏洩、不正な操作、さらにはアプリケーション全体の制御喪失につながる可能性があります。この脆弱性は、特にOAuth 2.0やOpenID Connectなどの認証プロトコルを実装するアプリケーションにおいて深刻なリスクとなります。類似の脆弱性は、ステート管理の不備から発生する可能性があり、注意が必要です。

Applications utilizing Authlib for OAuth 2.0 or OpenID Connect authentication, particularly those relying solely on Authlib's built-in state management without additional CSRF protections, are at significant risk. This includes web applications, APIs, and microservices that integrate with Authlib for authentication purposes.

• python / server:

import hashlib

def check_authlib_version():
    import authlib
    version = authlib.__version__
    if version <= '1.6.5':
        print(f"Authlib version {version} is vulnerable to CVE-2025-68158. Upgrade to 1.6.6 or later.")
    else:
        print(f"Authlib version {version} is not vulnerable.")

check_authlib_version()

• generic web: Use a web proxy or browser extension to inspect network traffic during authentication flows. Look for requests containing state parameters that are not properly validated or tied to the user's session.

1. 2026-01-08Disclosure

   disclosure

1. 予約済み2025-12-15
2. 公開日2026-01-08
3. 更新日2026-03-30
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずAuthlibをバージョン1.6.6にアップデートすることを推奨します。アップデートが利用できない場合、WAF（Web Application Firewall）やリバースプロキシを使用して、不正なリクエストをブロックするルールを実装することを検討してください。具体的には、ステート値の検証を強化し、セッション管理を適切に行う必要があります。また、アプリケーション側でステート値の生成と検証を厳密に行うことで、CSRF攻撃のリスクを軽減できます。アップデート後、アプリケーションの認証機能をテストし、ステート値が正しく検証されていることを確認してください。