Plataforma
python
Componente
fastapi-users
Corrigido em
15.0.3
15.0.2
Uma vulnerabilidade de segurança foi descoberta no pacote fastapi-users até a versão 9.3.2. Esta falha reside na geração de tokens de estado para o login OAuth, que são completamente stateless e não possuem entropia por requisição. Isso permite que um atacante sequestre o processo de autorização OAuth, potencialmente obtendo acesso não autorizado a recursos protegidos. A correção está disponível na versão 15.0.2.
A principal consequência desta vulnerabilidade é o potencial para sequestro de autorização OAuth. Um atacante pode interceptar ou manipular o token de estado OAuth, permitindo que ele se autentique como um usuário legítimo sem possuir suas credenciais. Isso pode levar ao acesso não autorizado a dados sensíveis, modificação de informações ou execução de ações em nome do usuário afetado. A ausência de entropia nos tokens torna a previsão e o sequestro relativamente simples, aumentando o risco de exploração. A vulnerabilidade é particularmente preocupante em aplicações que dependem fortemente do OAuth para autenticação, pois compromete a segurança do processo de login.
A vulnerabilidade foi divulgada publicamente em 2025-12-19. Não há informações disponíveis sobre a adição a KEV ou a existência de exploits públicos ativos no momento da divulgação. A ausência de entropia nos tokens de estado OAuth sugere uma probabilidade média de exploração, especialmente em ambientes onde o tráfego de rede não é devidamente protegido.
Applications built with FastAPI and utilizing the fastapi-users library for OAuth authentication are at risk. This includes web applications, APIs, and microservices that rely on OAuth for user authentication and authorization. Specifically, deployments using older versions of fastapi-users (<= 9.3.2) and those that haven't implemented robust token validation practices are particularly vulnerable.
• python / server:
grep -r 'generate_state_token' /path/to/your/project/
# Look for instances where state_data is an empty dictionary.• python / supply-chain:
import os
import hashlib
def check_fastapi_users_version():
try:
import fastapi_users
version = fastapi_users.__version__
if version <= '9.3.2':
print(f"WARNING: fastapi-users version {version} is vulnerable.")
else:
print(f"fastapi-users version {version} is not vulnerable.")
except ImportError:
print("fastapi-users is not installed.")
check_fastapi_users_version()disclosure
Status do Exploit
EPSS
0.06% (percentil 17%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização para a versão 15.0.2 do pacote fastapi-users. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais, como a validação rigorosa dos tokens de estado OAuth no lado do servidor e a implementação de um sistema de detecção de anomalias para identificar tentativas de sequestro. Além disso, revise e reforce as políticas de segurança OAuth da sua aplicação para garantir que os tokens de estado sejam tratados com o devido cuidado e proteção. Após a atualização, confirme a correção verificando se os novos tokens de estado OAuth são gerados com entropia adequada e estão vinculados à sessão de autenticação correta.
Atualize a biblioteca FastAPI Users para a versão 15.0.2 ou superior. Isso corrige a vulnerabilidade de Cross-Site Request Forgery (CSRF) no fluxo de login OAuth. A atualização mitiga o risco de um atacante assumir o controle da conta de um usuário.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-68481 é uma vulnerabilidade em fastapi-users ≤9.3.2 onde tokens de estado OAuth são stateless, permitindo sequestro de autorização.
Se você estiver usando fastapi-users versão 9.3.2 ou inferior, você está potencialmente afetado. Verifique sua versão e atualize.
Atualize para a versão 15.0.2 do pacote fastapi-users. Se a atualização não for possível, implemente medidas de segurança adicionais.
Não há informações disponíveis sobre exploração ativa no momento da divulgação, mas a vulnerabilidade apresenta um risco.
Consulte o repositório oficial do fastapi-users no GitHub para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.