Plataforma
nodejs
Componente
@auth0/nextjs-auth0
Corrigido em
4.12.1
4.18.0
Esta vulnerabilidade afeta o SDK Next.js @auth0/nextjs-auth0 nas versões de 4.12.0 a 4.17.0. Ela ocorre devido a pesquisas incorretas de tokens causadas por solicitações simultâneas que acionam uma tentativa de repetição de nonce. A vulnerabilidade impacta aplicações que utilizam o proxy handler /me/* e /my-org/* com DPoP habilitado. Uma atualização para a versão 4.18.0 resolve a questão.
A vulnerabilidade CVE-2026-40155 afeta as versões 4.12.0 a 4.17.0 do SDK @auth0/nextjs-auth0. Ela ocorre quando múltiplas solicitações simultâneas que acionam uma tentativa de repetição de nonce podem levar o fetcher de cache proxy a realizar pesquisas incorretas pelos resultados da solicitação de token. Isso pode permitir que um atacante, sob condições específicas, intercepte ou manipule o processo de autenticação, comprometendo potencialmente a segurança da aplicação. A vulnerabilidade é condicionada ao uso do manipulador proxy /me/* e /my-org/* com DPoP habilitado. É crucial atualizar para a versão 4.18.0 ou superior para mitigar este risco.
A exploração desta vulnerabilidade requer condições específicas: o uso de versões afetadas do SDK, a configuração do proxy com /me/* e /my-org/*, e DPoP habilitado. Um atacante precisaria orquestrar múltiplas solicitações simultâneas que acionem tentativas de repetição de nonce para explorar a falha no fetcher de cache proxy. A complexidade desta exploração limita o risco geral, mas a possibilidade de manipulação de tokens de autenticação justifica a atualização imediata.
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A solução recomendada é atualizar para a versão 4.18.0 ou superior do SDK @auth0/nextjs-auth0. Esta versão inclui uma correção que aborda a lógica do fetcher de cache proxy, prevenindo pesquisas incorretas e mitigando a vulnerabilidade. Se a atualização imediata não for possível, revise cuidadosamente a configuração do proxy e DPoP para identificar possíveis pontos fracos. Monitorar os logs da aplicação em busca de padrões incomuns relacionados às solicitações de token também pode ajudar a detectar possíveis tentativas de exploração. Recomenda-se realizar testes exaustivos após qualquer alteração na configuração ou atualização do SDK.
Actualice la Auth0 Next.js SDK a la versión 4.18.0 o superior para mitigar el riesgo de una búsqueda incorrecta en la caché del proxy. Asegúrese de que su proyecto no utilice la combinación vulnerable de versiones y la configuración del proxy handler /me/* y /my-org/* con DPoP habilitado.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um nonce é um número único usado uma única vez para prevenir ataques de repetição em protocolos de autenticação.
DPoP (Proof of Possession) é um mecanismo de segurança que permite a um cliente demonstrar que possui acesso a uma chave privada sem revelar a chave em si.
É um componente que armazena em cache os resultados das solicitações de token para melhorar o desempenho. A vulnerabilidade reside em como este componente lida com as tentativas de repetição de nonce.
Você pode verificar a versão do SDK executando npm list @auth0/nextjs-auth0 ou yarn list @auth0/nextjs-auth0 em seu projeto.
Se você não puder atualizar imediatamente, revise a configuração do proxy e DPoP, monitore os logs e considere implementar medidas de segurança adicionais, como a limitação da taxa de solicitações.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.