平台
nodejs
组件
@clerk/backend
修复版本
0.1.1
2.0.1
3.0.1
3.1.1
3.2.3
CVE-2026-34076 是 @clerk/backend 库中的服务器端请求伪造 (SSRF) 漏洞。攻击者可以通过构造特定的请求路径,导致代理将应用程序的 Clerk-Secret-Key 发送至攻击者控制的服务器。此漏洞仅影响已启用 frontendApiProxy 功能的应用,该功能默认未启用。建议升级至 3.2.3 版本以解决此问题。
此 SSRF 漏洞允许未经身份验证的攻击者利用精心构造的请求路径,将应用程序的 Clerk-Secret-Key 泄露给攻击者控制的服务器。Clerk-Secret-Key 是一个敏感的 API 密钥,如果泄露,攻击者可以使用它来冒充应用程序,执行未经授权的操作,并访问敏感数据。攻击者可能利用此漏洞进行数据泄露、身份盗用和进一步的攻击。由于 Clerk-Secret-Key 的敏感性,此漏洞的潜在影响非常严重,可能导致严重的业务中断和数据安全事件。
目前尚无公开的漏洞利用程序 (PoC),但由于该漏洞的性质,存在被利用的风险。该漏洞已发布到 NVD,CISA 尚未将其添加到 KEV 目录。攻击者可能正在积极寻找利用此漏洞的方法,因此建议尽快采取缓解措施。
Applications built with @clerk/backend that have explicitly enabled the frontendApiProxy feature are at risk. This includes applications utilizing Clerk's authentication and authorization services and relying on the Clerk-Secret-Key for secure operation. Developers who have not recently reviewed their dependencies or are using older versions of @clerk/backend are particularly vulnerable.
• nodejs / server:
npm list @clerk/backend• nodejs / server:
grep -r 'clerkFrontendApiProxy' ./src• nodejs / server:
find ./node_modules -name "@clerk/backend*" -print0 | xargs -0 npm lsdisclosure
漏洞利用状态
EPSS
0.04% (14% 百分位)
CISA SSVC
CVSS 向量
解决此漏洞的主要方法是升级到 @clerk/backend 的 3.2.3 版本或更高版本。如果无法立即升级,可以考虑以下缓解措施:禁用 frontendApiProxy 功能,因为它仅在特定场景下使用。如果必须使用此功能,请仔细审查请求路径的输入验证,确保其不会导致未经授权的请求。此外,可以考虑使用 Web 应用防火墙 (WAF) 或代理来过滤恶意请求,并监控应用程序的日志以检测可疑活动。升级后,请验证 Clerk-Secret-Key 是否仍然安全,并检查是否有任何未经授权的访问尝试。
将 @clerk/hono、@clerk/express、@clerk/backend 和 @clerk/fastify 包分别更新到版本 0.1.5、2.0.7、3.2.3 和 3.1.5 或更高版本。这可以修复可能暴露 Clerk 密钥的 SSRF 漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-34076 是 @clerk/backend 库中的服务器端请求伪造 (SSRF) 漏洞,攻击者可以利用它将应用程序的 Clerk-Secret-Key 发送至攻击者控制的服务器。
如果您使用了 @clerk/backend 库,并且启用了 frontendApiProxy 功能,则可能受到影响。@clerk/nextjs 用户不受影响。
升级到 @clerk/backend 的 3.2.3 版本或更高版本。如果无法升级,请禁用 frontendApiProxy 功能或实施额外的安全措施。
目前尚无公开的漏洞利用程序,但存在被利用的风险。建议尽快采取缓解措施。
请访问 @clerk 官方网站或 GitHub 仓库,查找相关的安全公告和更新信息。