Plataforma
other
Componente
ash_authentication
Corrigido em
4.1.1
A vulnerabilidade CVE-2025-25202 afeta o framework de autenticação Ash Authentication para aplicações Elixir. Aplicações que utilizam a estratégia de magic link ou revogam tokens manualmente, nas versões 4.1.0 até 4.4.8, podem ser comprometidas, pois tokens revogados podem ser reutilizados. A correção está disponível na versão 4.4.9.
Esta vulnerabilidade permite que atacantes reutilizem tokens revogados, comprometendo a segurança do processo de autenticação. No contexto de magic links, um atacante pode interceptar um link de login e utilizá-lo mesmo após o token ter sido revogado, permitindo acesso não autorizado à aplicação. A gravidade do impacto depende da criticidade dos dados e funcionalidades acessíveis após a autenticação bem-sucedida. A reutilização de tokens revogados pode levar à roubo de dados, comprometimento de contas e outras atividades maliciosas.
A vulnerabilidade foi divulgada em 11 de fevereiro de 2025. Não há evidências de exploração ativa no momento. A probabilidade de exploração é considerada baixa, pois a vulnerabilidade requer conhecimento específico do framework e da implementação de magic links. Não foi adicionada ao KEV (CISA Known Exploited Vulnerabilities) até o momento.
Elixir applications utilizing Ash Authentication, particularly those employing the magic link authentication strategy or implementing custom token revocation mechanisms, are at risk. Shared hosting environments where multiple applications share the same Ash Authentication instance could also amplify the potential impact.
disclosure
Status do Exploit
EPSS
0.16% (percentil 37%)
CISA SSVC
A mitigação primária é atualizar o Ash Authentication para a versão 4.4.9 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, implemente uma funcionalidade de revogação de tokens customizada em sua aplicação para garantir que tokens revogados sejam efetivamente invalidados. Considere a implementação de medidas de segurança adicionais, como a limitação do tempo de vida dos tokens e a utilização de autenticação de dois fatores. Após a atualização, confirme a correção verificando se os tokens revogados não podem mais ser utilizados para autenticação.
Actualice a la versión 4.4.9 o superior. Si está utilizando el instalador `mix ash_authentication.install`, ejecute `mix igniter.upgrade ash_authentication` para aplicar el parche. Alternativamente, elimine la acción genérica `:revoked?` en el recurso de token o aplique manualmente los cambios incluidos en el parche.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade que permite a reutilização de tokens revogados em aplicações Elixir que utilizam Ash Authentication nas versões 4.1.0 até 4.4.8, afetando principalmente usuários de magic links.
Sim, se você utiliza Ash Authentication nas versões 4.1.0 até 4.4.8 e implementa a estratégia de magic link ou revoga tokens manualmente, você está potencialmente afetado.
Atualize o Ash Authentication para a versão 4.4.9 ou superior. Se a atualização não for possível, implemente uma funcionalidade de revogação de tokens customizada.
Não há evidências de exploração ativa no momento, mas a vulnerabilidade pode ser explorada se não for mitigada.
Consulte o repositório oficial do Ash Authentication no GitHub para obter informações e atualizações sobre a vulnerabilidade: [https://github.com/auth0/ash-authentication](https://github.com/auth0/ash-authentication)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.