Platform
other
Component
ash_authentication
Opgelost in
4.1.1
CVE-2025-25202 is een kwetsbaarheid in Ash Authentication, een authenticatie framework voor Elixir applicaties. Deze kwetsbaarheid stelt aanvallers in staat om ongeldiggemaakte tokens opnieuw te gebruiken, waardoor authenticatie kan worden omzeild. De kwetsbaarheid treft versies 4.1.0 tot en met, maar exclusief, 4.4.9. Een fix is beschikbaar in versie 4.4.9.
De impact van deze kwetsbaarheid is dat aanvallers magische link tokens opnieuw kunnen gebruiken, zelfs nadat ze ongeldig zijn gemaakt. Dit betekent dat een aanvaller, die toegang heeft tot een reeds verlopen of ongeldiggemaakte magische link token, deze token kan gebruiken om zich te authenticeren als de gebruiker. Dit kan leiden tot ongeautoriseerde toegang tot de applicatie en de daaraan gekoppelde data. De kwetsbaarheid is specifiek van toepassing op applicaties die de ingebouwde magische link functionaliteit van Ash Authentication gebruiken en geen aangepaste token revocatie mechanismen hebben geïmplementeerd. Het risico is groter in omgevingen waar tokens gemakkelijk kunnen worden onderschept of gestolen.
Op dit moment (2025-02-11) is er geen publieke exploit beschikbaar voor CVE-2025-25202. De kwetsbaarheid is opgenomen in de CISA KEV catalogus, wat wijst op een potentieel risico. Er zijn geen actieve campagnes bekend die deze kwetsbaarheid uitbuiten, maar de publicatie van de kwetsbaarheid kan leiden tot verdere analyse en mogelijke exploitatie in de toekomst.
Elixir applications utilizing Ash Authentication, particularly those employing the magic link authentication strategy or implementing custom token revocation mechanisms, are at risk. Shared hosting environments where multiple applications share the same Ash Authentication instance could also amplify the potential impact.
disclosure
Exploit Status
EPSS
0.16% (37% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2025-25202 is het upgraden van Ash Authentication naar versie 4.4.9 of hoger. Indien een upgrade direct niet mogelijk is, overweeg dan het implementeren van een aangepaste token revocatie functionaliteit in uw applicatie. Dit kan door het handmatig ongeldig maken van tokens in uw database of door het gebruik van een andere token opslag methode. Controleer ook of uw applicatie geen tokens opslaat in onbeveiligde locaties. Na de upgrade, verifieer de fix door een magische link token te genereren, deze ongeldig te maken en te controleren of de token niet meer geldig is.
Actualice a la versión 4.4.9 o superior. Si está utilizando el instalador `mix ash_authentication.install`, ejecute `mix igniter.upgrade ash_authentication` para aplicar el parche. Alternativamente, elimine la acción genérica `:revoked?` en el recurso de token o aplique manualmente los cambios incluidos en el parche.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-25202 is a vulnerability in Ash Authentication affecting versions 4.1.0 through 4.4.8. It allows revoked tokens to be reused, potentially granting unauthorized access.
You are affected if your Elixir application uses Ash Authentication versions 4.1.0 to 4.4.8 and utilizes the magic link strategy or manual token revocation.
Upgrade Ash Authentication to version 4.4.9 or later. If immediate upgrade is not possible, implement custom token revocation logic.
There are currently no confirmed reports of active exploitation, but the vulnerability's potential impact warrants prompt mitigation.
Refer to the Ash Authentication project's official repository and documentation for the latest advisory and security updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.