Plataforma
python
Componente
authlib
Corrigido em
1.0.1
1.6.6
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta na biblioteca Authlib, afetando versões até 1.6.5. Essa falha permite que um atacante realize um roubo de sessão com um único clique em aplicações que utilizam o armazenamento em cache para o estado de autenticação. A vulnerabilidade reside na falta de vinculação do armazenamento em cache do estado/token de solicitação à sessão do usuário iniciante, tornando possível um ataque CSRF.
O impacto desta vulnerabilidade é significativo, pois um atacante pode efetivamente sequestrar a sessão de um usuário autenticado sem a necessidade de interação adicional. Isso pode levar ao acesso não autorizado a dados sensíveis, modificação de informações do usuário ou execução de ações em nome do usuário comprometido. O ataque é facilitado pela facilidade com que um atacante pode obter um valor de estado válido, simplesmente iniciando um fluxo de autenticação controlado pelo atacante. A exploração bem-sucedida pode resultar em um comprometimento completo da conta do usuário, com potencial para danos significativos à aplicação e seus dados.
A vulnerabilidade foi descoberta e divulgada em 2026-01-08. Não há evidências públicas de exploração ativa no momento da divulgação. A pontuação de probabilidade de exploração (EPSS) ainda está pendente de avaliação. A vulnerabilidade é considerada de risco médio devido ao seu potencial de roubo de sessão, mas a necessidade de um fluxo de autenticação controlado pelo atacante pode limitar sua exploração em alguns cenários.
Applications utilizing Authlib for OAuth 2.0 or OpenID Connect authentication, particularly those relying solely on Authlib's built-in state management without additional CSRF protections, are at significant risk. This includes web applications, APIs, and microservices that integrate with Authlib for authentication purposes.
• python / server:
import hashlib
def check_authlib_version():
import authlib
version = authlib.__version__
if version <= '1.6.5':
print(f"Authlib version {version} is vulnerable to CVE-2025-68158. Upgrade to 1.6.6 or later.")
else:
print(f"Authlib version {version} is not vulnerable.")
check_authlib_version()• generic web: Use a web proxy or browser extension to inspect network traffic during authentication flows. Look for requests containing state parameters that are not properly validated or tied to the user's session.
disclosure
Status do Exploit
EPSS
0.03% (percentil 7%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar a biblioteca Authlib para a versão 1.6.6 ou superior, que corrige a falha. Se a atualização imediata não for possível, considere implementar medidas de proteção CSRF adicionais, como a validação rigorosa do token de estado em cada solicitação. Implementar políticas de SameSite cookies pode ajudar a mitigar o risco. Monitore logs de acesso e auditoria em busca de padrões de requisições suspeitas que possam indicar uma tentativa de exploração. Após a atualização, confirme a correção verificando se o armazenamento em cache do estado está corretamente vinculado à sessão do usuário.
Atualize a biblioteca Authlib para a versão 1.6.6 ou superior. Isso corrige a vulnerabilidade CSRF ao vincular o armazenamento de estado/token de solicitação com base em cache à sessão do usuário iniciador.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-68158 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) na biblioteca Authlib, que permite roubo de sessão com um clique em aplicações que usam cache para armazenar estado.
Sim, se você estiver usando Authlib em versões anteriores a 1.6.6, sua aplicação é vulnerável a ataques CSRF.
Atualize a biblioteca Authlib para a versão 1.6.6 ou superior. Implemente medidas de proteção CSRF adicionais se a atualização imediata não for possível.
Não há evidências públicas de exploração ativa no momento da divulgação, mas a vulnerabilidade representa um risco significativo.
Consulte o advisory de segurança da Snyk para obter mais informações: [https://snyk.io/vuln/SNYK-PYTHON-AUTHLIB-1043649](https://snyk.io/vuln/SNYK-PYTHON-AUTHLIB-1043649)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.