プラットフォーム
nodejs
コンポーネント
@auth0/nextjs-auth0
修正版
4.12.1
4.18.0
この脆弱性は、@auth0/nextjs-auth0 SDK のバージョン 4.12.0 から 4.17.0 において発生します。同時リクエストがnonceリトライをトリガーすると、プロキシキャッシュフェッチャーがトークンリクエストの結果の不適切な参照を行う可能性があります。DPoP を有効にした /me/* および /my-org/* プロキシハンドラを使用しているアプリケーションが影響を受けます。バージョン 4.18.0 へのアップグレードでこの問題は修正されています。
CVE-2026-40155 は、@auth0/nextjs-auth0 SDK のバージョン 4.12.0 から 4.17.0 に影響します。これは、nonce の再試行をトリガーする複数の同時リクエストが、プロキシキャッシュフェッチャーにトークンリクエスト結果の不適切な検索を実行させる可能性がある場合に発生します。これにより、特定の条件下で攻撃者が認証プロセスを傍受または操作できる可能性があり、アプリケーションのセキュリティが損なわれる可能性があります。この脆弱性は、/me/* および /my-org/* プロキシハンドラーを使用し、DPoP が有効になっている場合に限定されます。このリスクを軽減するために、バージョン 4.18.0 以降に更新することが重要です。
この脆弱性の悪用には、特定の条件が必要です。影響を受ける SDK のバージョンを使用し、/me/* および /my-org/* でプロキシが構成され、DPoP が有効になっている必要があります。攻撃者は、nonce の再試行をトリガーする複数の同時リクエストを調整して、プロキシキャッシュフェッチャーの欠陥を悪用する必要があります。この悪用の複雑さは全体的なリスクを制限しますが、トークンの操作の可能性は、即時の更新を正当化します。
エクスプロイト状況
EPSS
0.04% (12% パーセンタイル)
CISA SSVC
推奨される解決策は、@auth0/nextjs-auth0 SDK をバージョン 4.18.0 以降に更新することです。このバージョンには、プロキシキャッシュフェッチャーのロジックを修正し、不適切な検索を防止し、脆弱性を軽減する修正が含まれています。即時の更新が不可能な場合は、プロキシおよび DPoP の構成を慎重に確認して、潜在的な脆弱性を特定してください。アプリケーションログを監視して、トークンリクエストに関連する異常なパターンがないか確認することも、潜在的な悪用試行を検出するのに役立ちます。構成の変更や SDK の更新後に徹底的なテストを行うことをお勧めします。
Actualice la Auth0 Next.js SDK a la versión 4.18.0 o superior para mitigar el riesgo de una búsqueda incorrecta en la caché del proxy. Asegúrese de que su proyecto no utilice la combinación vulnerable de versiones y la configuración del proxy handler /me/* y /my-org/* con DPoP habilitado.
脆弱性分析と重要アラートをメールでお届けします。
nonce は、認証プロトコルにおけるリプレイ攻撃を防ぐために使用される一意で一度だけ使用される数値です。
DPoP (Proof of Possession) は、クライアントが秘密鍵の所有権を証明するセキュリティメカニズムであり、鍵自体を明らかにすることなく実行できます。
これは、パフォーマンスを向上させるためにトークンリクエストの結果をキャッシュするコンポーネントです。脆弱性は、このコンポーネントが nonce の再試行をどのように処理するかという点にあります。
プロジェクトで npm list @auth0/nextjs-auth0 または yarn list @auth0/nextjs-auth0 を実行することで、SDK のバージョンを確認できます。
すぐに更新できない場合は、プロキシと DPoP の構成を確認し、ログを監視し、リクエストのレート制限などの追加のセキュリティ対策を検討してください。
CVSS ベクトル