CVE-2025-68158 描述了 Authlib 库中一个缓存状态存储的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者通过发起身份验证流程获取有效的状态值,从而实现单点击账户接管。该漏洞影响 Authlib 版本 1.6.5 及更早版本,建议升级至 1.6.6 版本以修复此问题。
该 CSRF 漏洞允许攻击者在受影响的应用程序中执行未经授权的操作,例如更改用户密码、修改个人资料或执行其他敏感操作。由于状态值可以通过攻击者发起的身份验证流程轻松获得,因此攻击者可以诱骗用户点击恶意链接或访问恶意网站,从而接管其账户。这种攻击方式的潜在影响非常严重,可能导致数据泄露、财务损失和声誉损害。该漏洞的利用方式类似于其他 CSRF 漏洞,但由于其缓存状态存储的特性,攻击的成功率可能更高。
该漏洞由 Snyk Security Labs 团队发现并公开披露。目前尚无公开的利用代码 (PoC),但由于该漏洞的严重性和易利用性,预计未来可能会出现。该漏洞已添加到 CISA KEV 目录中,表明其具有中等概率被利用。建议密切关注相关安全公告和更新。
Applications utilizing Authlib for OAuth 2.0 or OpenID Connect authentication, particularly those relying solely on Authlib's built-in state management without additional CSRF protections, are at significant risk. This includes web applications, APIs, and microservices that integrate with Authlib for authentication purposes.
• python / server:
import hashlib
def check_authlib_version():
import authlib
version = authlib.__version__
if version <= '1.6.5':
print(f"Authlib version {version} is vulnerable to CVE-2025-68158. Upgrade to 1.6.6 or later.")
else:
print(f"Authlib version {version} is not vulnerable.")
check_authlib_version()• generic web: Use a web proxy or browser extension to inspect network traffic during authentication flows. Look for requests containing state parameters that are not properly validated or tied to the user's session.
disclosure
漏洞利用状态
EPSS
0.03% (7% 百分位)
CISA SSVC
CVSS 向量
修复此漏洞的首要措施是升级 Authlib 库至 1.6.6 或更高版本。如果无法立即升级,可以考虑实施一些临时缓解措施,例如使用更严格的 CSRF 保护机制,例如验证请求来源或使用双因素身份验证。此外,建议审查应用程序的代码,以确保所有身份验证相关的操作都受到适当的保护。在升级后,请务必验证修复是否成功,例如通过模拟攻击场景来测试账户接管的可能性。
升级 Authlib 库到 1.6.6 或更高版本。这修复了通过将缓存后端的 state/request-token 存储绑定到发起用户的会话来修复 CSRF 漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-68158 是 Authlib 库中一个缓存状态存储的跨站请求伪造 (CSRF) 漏洞,允许攻击者进行单点击账户接管。
如果您正在使用 Authlib 1.6.5 或更早版本,则您可能受到此漏洞的影响。请尽快升级至 1.6.6 或更高版本。
升级 Authlib 库至 1.6.6 或更高版本是修复此漏洞的最佳方法。
目前尚无公开的利用代码,但由于该漏洞的严重性和易利用性,预计未来可能会出现。
请访问 Snyk 的安全公告页面:https://snyk.io/vuln/SNYK-PYTHON-AUTHLIB-1043729
上传你的 requirements.txt 文件,立即知道是否受影响。