Platform
python
Component
fastapi-users
Opgelost in
15.0.3
15.0.2
CVE-2025-68481 beschrijft een kwetsbaarheid in de fastapi-users bibliotheek, specifiek gerelateerd aan de OAuth login state tokens. Deze tokens zijn stateless en bevatten geen per-request entropie, wat een aanvaller in staat stelt om mogelijk sessies over te nemen. De kwetsbaarheid treft versies van fastapi-users tot en met 9.3.2. Een fix is beschikbaar in versie 15.0.2.
Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde toegang te verkrijgen tot gebruikersaccounts. Omdat de OAuth login state tokens geen entropie bevatten en altijd worden gegenereerd met een lege state_data dict, kan een aanvaller deze tokens mogelijk voorspellen of onderscheppen. Door een ongeldige token te presenteren, kan de aanvaller zich voordoen als de gebruiker en toegang krijgen tot hun account. De impact kan variëren afhankelijk van de gevoeligheid van de gegevens die toegankelijk zijn via de gecompromitteerde account, maar kan leiden tot data-inbreuk, identiteitsdiefstal en andere schadelijke activiteiten. Dit is vergelijkbaar met kwetsbaarheden waarbij sessie-ID's onvoldoende beveiligd zijn.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar in de CVE-beschrijving. Er is geen indicatie van actieve exploitatie op dit moment, maar de eenvoud van de kwetsbaarheid maakt het waarschijnlijk dat er exploit code zal worden ontwikkeld. De KEV score is nog niet bepaald, maar gezien de potentiële impact en de openbare beschikbaarheid van de details, is een medium risico waarschijnlijk. De CVE is gepubliceerd op 2025-12-19.
Applications built with FastAPI and utilizing the fastapi-users library for OAuth authentication are at risk. This includes web applications, APIs, and microservices that rely on OAuth for user authentication and authorization. Specifically, deployments using older versions of fastapi-users (<= 9.3.2) and those that haven't implemented robust token validation practices are particularly vulnerable.
• python / server:
grep -r 'generate_state_token' /path/to/your/project/
# Look for instances where state_data is an empty dictionary.• python / supply-chain:
import os
import hashlib
def check_fastapi_users_version():
try:
import fastapi_users
version = fastapi_users.__version__
if version <= '9.3.2':
print(f"WARNING: fastapi-users version {version} is vulnerable.")
else:
print(f"fastapi-users version {version} is not vulnerable.")
except ImportError:
print("fastapi-users is not installed.")
check_fastapi_users_version()disclosure
Exploit Status
EPSS
0.06% (17% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 15.0.2 of hoger van de fastapi-users bibliotheek. Als een directe upgrade niet mogelijk is, overweeg dan om de OAuth flow te beveiligen door extra entropie toe te voegen aan de state tokens. Dit kan worden bereikt door een unieke, willekeurige waarde aan de state_data dict toe te voegen bij het genereren van de token. Controleer ook of uw OAuth provider de state parameter valideert en niet toestaat dat deze wordt overschreven. Na de upgrade, verifieer de correcte werking van de OAuth login door te testen met verschillende gebruikers en scenario's.
Actualiseer de FastAPI Users library naar versie 15.0.2 of hoger. Dit corrigeert de Cross-Site Request Forgery (CSRF) kwetsbaarheid in de OAuth login flow. De update verzacht het risico dat een aanvaller de controle over de account van een gebruiker overneemt.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-68481 is een kwetsbaarheid in FastAPI Users ≤9.3.2 waarbij OAuth login state tokens stateless zijn en geen entropie bevatten, wat een aanvaller in staat stelt sessies over te nemen.
Ja, als u FastAPI Users gebruikt in versie 9.3.2 of lager, bent u kwetsbaar voor deze kwetsbaarheid.
Upgrade naar versie 15.0.2 of hoger van de fastapi-users bibliotheek. Indien een upgrade niet mogelijk is, implementeer dan extra entropie in de state tokens.
Er is momenteel geen indicatie van actieve exploitatie, maar de eenvoud van de kwetsbaarheid maakt het waarschijnlijk dat er exploit code zal worden ontwikkeld.
Raadpleeg de FastAPI Users GitHub repository en de bijbehorende release notes voor de officiële advisory en details over de fix.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.