Platform
python
Component
authlib
Opgelost in
1.0.1
1.6.6
CVE-2025-68158 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de Authlib Python bibliotheek. Deze kwetsbaarheid kan leiden tot een 'one-click account takeover' doordat de cache-backed state/request-token opslag niet gekoppeld is aan de initiële gebruikerssessie. De kwetsbaarheid treft versies van Authlib tot en met 1.6.5. Een fix is beschikbaar in versie 1.6.6.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om namens een geauthenticeerde gebruiker acties uit te voeren zonder hun kennis of toestemming. Dit kan resulteren in ongeautoriseerde accountwijzigingen, gegevensmanipulatie of zelfs volledige accountovername. Omdat de state/request-token niet aan de sessie is gekoppeld, kan een aanvaller deze eenvoudig verkrijgen via een door hen geïnitieerde authenticatie flow. Dit maakt de aanval relatief eenvoudig uit te voeren en de impact aanzienlijk.
Deze kwetsbaarheid is ontdekt door het Snyk Security Labs team en publiekelijk bekendgemaakt. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de beschrijving van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. De KEV status is momenteel onbekend. De kwetsbaarheid is openbaar gemaakt op 2026-01-08.
Applications utilizing Authlib for OAuth 2.0 or OpenID Connect authentication, particularly those relying solely on Authlib's built-in state management without additional CSRF protections, are at significant risk. This includes web applications, APIs, and microservices that integrate with Authlib for authentication purposes.
• python / server:
import hashlib
def check_authlib_version():
import authlib
version = authlib.__version__
if version <= '1.6.5':
print(f"Authlib version {version} is vulnerable to CVE-2025-68158. Upgrade to 1.6.6 or later.")
else:
print(f"Authlib version {version} is not vulnerable.")
check_authlib_version()• generic web: Use a web proxy or browser extension to inspect network traffic during authentication flows. Look for requests containing state parameters that are not properly validated or tied to the user's session.
disclosure
Exploit Status
EPSS
0.03% (7% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar Authlib versie 1.6.6 of hoger, waar de kwetsbaarheid is verholpen. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van strikte CSRF-beschermingsmaatregelen op de applicatie-laag, zoals het verifiëren van de origin van verzoeken en het gebruik van anti-CSRF tokens. Controleer ook of de Authlib configuratie correct is en geen onveilige instellingen bevat. Na de upgrade, bevestig de correcte werking door een CSRF-test uit te voeren.
Actualiseer de Authlib bibliotheek naar versie 1.6.6 of hoger. Dit corrigeert de CSRF kwetsbaarheid door de cache-backed state/request-token storage te koppelen aan de initiërende gebruikerssessie.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-68158 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de Authlib Python bibliotheek, waardoor een aanvaller mogelijk een account kan overnemen.
U bent getroffen als u Authlib gebruikt in versie 1.6.5 of lager. Controleer uw dependencies en upgrade indien nodig.
Upgrade Authlib naar versie 1.6.6 of hoger. Indien een upgrade niet mogelijk is, implementeer dan CSRF-beschermingsmaatregelen op applicatie-niveau.
Er zijn momenteel geen bevestigde gevallen van actieve exploitatie, maar de kwetsbaarheid is eenvoudig te exploiteren.
Raadpleeg de Snyk security advisory: [https://snyk.io/vuln/SNYK-PYTHON-AUTHLIB-1044642](https://snyk.io/vuln/SNYK-PYTHON-AUTHLIB-1044642)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.