Platform
nodejs
Component
@auth0/nextjs-auth0
Opgelost in
4.12.1
4.18.0
CVE-2026-40155 is een beveiligingslek in de Next.js SDK @auth0/nextjs-auth0, specifiek in versies 4.12.0 tot en met 4.17.0. Het lek kan leiden tot incorrecte token lookups door de proxy cache fetcher bij gelijktijdige verzoeken die een nonce retry triggeren, wat de authenticatie kan beïnvloeden. Dit probleem treft applicaties die de proxy handler /me/* en /my-org/* gebruiken met DPoP ingeschakeld. Een update naar versie 4.18.0 of hoger is beschikbaar om dit probleem te verhelpen.
CVE-2026-40155 treft versies 4.12.0 tot 4.17.0 van de @auth0/nextjs-auth0 SDK. Het komt voor wanneer meerdere gelijktijdige verzoeken die een nonce-retry triggeren, kunnen leiden tot onjuiste zoekopdrachten door de proxy cache fetcher voor token request resultaten. Dit kan een aanvaller onder specifieke omstandigheden potentieel in staat stellen om het authenticatieproces te onderscheppen of te manipuleren, waardoor de beveiliging van de applicatie mogelijk wordt gecompromitteerd. De kwetsbaarheid is afhankelijk van het gebruik van de proxy handler /me/* en /my-org/* met DPoP ingeschakeld. Het updaten naar versie 4.18.0 of hoger is cruciaal om dit risico te beperken.
Het exploiteren van deze kwetsbaarheid vereist specifieke omstandigheden: het gebruik van getroffen SDK-versies, de configuratie van de proxy met /me/* en /my-org/*, en DPoP ingeschakeld. Een aanvaller zou meerdere gelijktijdige verzoeken moeten orkestreren die een nonce-retry triggeren om de fout in de proxy cache fetcher te exploiteren. De complexiteit van deze exploitatie beperkt het algehele risico, maar de mogelijkheid van token manipulatie rechtvaardigt een onmiddellijke update.
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen oplossing is om te updaten naar versie 4.18.0 of hoger van de @auth0/nextjs-auth0 SDK. Deze versie bevat een fix die de logica van de proxy cache fetcher aanpakt, onjuiste zoekopdrachten voorkomt en de kwetsbaarheid beperkt. Als een onmiddellijke update niet mogelijk is, bekijk dan uw proxy- en DPoP-configuratie zorgvuldig om potentiële zwakke punten te identificeren. Het monitoren van applicatielogboeken op ongebruikelijke patronen met betrekking tot token verzoeken kan ook helpen bij het detecteren van potentiële exploitatiepogingen. Grondige tests na wijzigingen in de configuratie of SDK-updates worden aanbevolen.
Actualice la Auth0 Next.js SDK a la versión 4.18.0 o superior para mitigar el riesgo de una búsqueda incorrecta en la caché del proxy. Asegúrese de que su proyecto no utilice la combinación vulnerable de versiones y la configuración del proxy handler /me/* y /my-org/* con DPoP habilitado.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een nonce is een uniek, eenmalig nummer dat wordt gebruikt om replay-aanvallen in authenticatieprotocollen te voorkomen.
DPoP (Proof of Possession) is een beveiligingsmechanisme dat een client in staat stelt om het bezit van een private sleutel te bewijzen zonder de sleutel zelf te onthullen.
Het is een component die token request resultaten opslaat in de cache om de prestaties te verbeteren. De kwetsbaarheid ligt in de manier waarop deze component nonce-retries afhandelt.
U kunt de SDK-versie controleren door npm list @auth0/nextjs-auth0 of yarn list @auth0/nextjs-auth0 in uw project uit te voeren.
Als u niet onmiddellijk kunt updaten, bekijk dan uw proxy- en DPoP-configuratie, monitor de logboeken en overweeg extra beveiligingsmaatregelen te nemen, zoals het beperken van het aantal verzoeken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.