平台
other
组件
ash_authentication
修复版本
4.1.1
CVE-2025-25202 是 Ash Authentication 框架中的令牌撤销漏洞。该漏洞影响使用魔术链接策略或手动撤销令牌的应用,已撤销的令牌可能仍然有效。攻击者可以利用此漏洞重复使用魔术链接令牌,从而可能导致未经授权的访问。受影响的版本包括 4.1.0 及以上,低于 4.4.9 版本。建议升级至 4.4.9 版本以修复此问题。
此漏洞允许攻击者重复使用已撤销的魔术链接令牌。魔术链接令牌通常用于用户身份验证,如果令牌未正确撤销,攻击者可以使用该令牌绕过身份验证流程,从而访问受保护的资源。攻击者可能利用此漏洞进行未经授权的访问、数据泄露或进一步的攻击。虽然内置功能受影响,但如果应用实现了自定义令牌撤销功能,则不会受到影响。魔术链接令牌的有效期是其可被重复利用的时间窗口。
目前尚无公开的利用代码 (PoC)。该漏洞已添加到 CISA KEV 目录,表明其具有中等风险。由于魔术链接的常见使用,该漏洞可能成为攻击者的目标。建议密切关注安全社区的动态,并及时采取缓解措施。
Elixir applications utilizing Ash Authentication, particularly those employing the magic link authentication strategy or implementing custom token revocation mechanisms, are at risk. Shared hosting environments where multiple applications share the same Ash Authentication instance could also amplify the potential impact.
disclosure
漏洞利用状态
EPSS
0.16% (37% 百分位)
CISA SSVC
最有效的缓解措施是升级到 Ash Authentication 4.4.9 或更高版本,该版本修复了此漏洞。如果无法立即升级,可以考虑以下临时缓解措施:禁用魔术链接功能,或者实施自定义的令牌撤销机制,确保已撤销的令牌无法再次使用。此外,监控应用程序的日志,查找可疑的令牌使用情况。升级后,验证令牌撤销功能是否正常工作,确保已撤销的令牌无法通过验证。
Actualice a la versión 4.4.9 o superior. Si está utilizando el instalador `mix ash_authentication.install`, ejecute `mix igniter.upgrade ash_authentication` para aplicar el parche. Alternativamente, elimine la acción genérica `:revoked?` en el recurso de token o aplique manualmente los cambios incluidos en el parche.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-25202 是 Ash Authentication 4.1.0 及以上,低于 4.4.9 版本中的一个漏洞,允许已撤销的令牌被重复使用,造成安全风险。
如果您正在使用 Ash Authentication 4.1.0 及以上,低于 4.4.9 版本,并且使用了魔术链接策略或手动撤销令牌,则可能受到影响。
升级到 Ash Authentication 4.4.9 或更高版本以修复此漏洞。如果无法升级,请禁用魔术链接或实施自定义的令牌撤销机制。
目前尚无公开的利用代码,但由于魔术链接的常见使用,该漏洞可能成为攻击者的目标。
请查阅 Ash Authentication 官方安全公告,以获取有关此漏洞的更多信息和修复指南。