Plataforma
nodejs
Componente
@clerk/backend
Corrigido em
0.1.1
2.0.1
3.0.1
3.1.1
3.2.3
A vulnerabilidade CVE-2026-34076 é uma falha de SSRF (Server-Side Request Forgery) identificada na biblioteca @clerk/backend. Essa falha permite que um atacante não autenticado manipule o caminho da requisição, resultando no envio da chave secreta Clerk-Secret-Key da aplicação para um servidor controlado pelo atacante. A vulnerabilidade afeta aplicações que habilitaram a funcionalidade frontendApiProxy, não habilitada por padrão. A correção foi disponibilizada na versão 3.2.3.
Um atacante explorando essa vulnerabilidade pode obter acesso à chave secreta Clerk-Secret-Key da aplicação. Essa chave é crucial para autenticação e autorização, permitindo que o atacante se passe por usuários legítimos e acessar dados sensíveis. A exposição dessa chave pode levar a comprometimento completo da aplicação, incluindo acesso não autorizado a informações de usuários, manipulação de dados e até mesmo a execução de código malicioso. A severidade da vulnerabilidade é alta devido ao potencial impacto na segurança e confidencialidade dos dados.
A vulnerabilidade foi divulgada em 27 de março de 2026. Não há evidências públicas de exploração ativa no momento. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa da probabilidade de exploração, mas a natureza da vulnerabilidade SSRF a torna potencialmente explorável. A vulnerabilidade não foi adicionada ao Catálogo de Vulnerabilidades Conhecidas (KEV) da CISA até o momento.
Applications built with @clerk/backend that have explicitly enabled the frontendApiProxy feature are at risk. This includes applications utilizing Clerk's authentication and authorization services and relying on the Clerk-Secret-Key for secure operation. Developers who have not recently reviewed their dependencies or are using older versions of @clerk/backend are particularly vulnerable.
• nodejs / server:
npm list @clerk/backend• nodejs / server:
grep -r 'clerkFrontendApiProxy' ./src• nodejs / server:
find ./node_modules -name "@clerk/backend*" -print0 | xargs -0 npm lsdisclosure
Status do Exploit
EPSS
0.04% (percentil 14%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-34076 é atualizar a biblioteca @clerk/backend para a versão 3.2.3 ou superior. Se a atualização imediata não for possível, desative temporariamente a funcionalidade frontendApiProxy para reduzir a superfície de ataque. Implemente regras de firewall de aplicação web (WAF) para filtrar requisições maliciosas que tentem explorar a vulnerabilidade de SSRF. Monitore logs de acesso e erro em busca de padrões suspeitos de requisições que possam indicar tentativas de exploração. Após a atualização, confirme a correção verificando se a chave secreta não é mais exposta em requisições para servidores externos.
Atualize os pacotes @clerk/hono, @clerk/express, @clerk/backend e @clerk/fastify para as versões 0.1.5, 2.0.7, 3.2.3 e 3.1.5, respectivamente, ou superior. Isso corrige a vulnerabilidade SSRF que poderia expor a chave secreta de Clerk.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-34076 is a Server-Side Request Forgery (SSRF) vulnerability in the @clerk/backend Node.js package, allowing attackers to potentially extract the Clerk-Secret-Key.
You are affected if you use @clerk/backend versions prior to 3.2.3 and have enabled the frontendApiProxy feature. Users of @clerk/nextjs are not affected.
Upgrade to @clerk/backend version 3.2.3 or disable the frontendApiProxy feature in your application configuration.
There is currently no indication of active exploitation of CVE-2026-34076.
Refer to the Clerk security advisory for detailed information and updates: [https://clerk.com/docs/security](https://clerk.com/docs/security)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.