平台
nodejs
组件
@auth0/nextjs-auth0
修复版本
4.12.1
4.18.0
CVE-2026-40155 是一个存在于 @auth0/nextjs-auth0 SDK 中的漏洞,该 SDK 用于构建 Next.js 应用程序。当同时请求触发nonce重试时,代理缓存获取器可能会执行不正确的token请求结果查找,导致缓存失效。此问题影响使用 @auth0/nextjs-auth0 SDK 版本 4.12.0 到 4.17.0 且使用代理处理器 /me/* 和 /my-org/* 且启用了DPoP的应用程序。建议升级到 v4.18.0 以解决此问题。
CVE-2026-40155 影响 @auth0/nextjs-auth0 SDK 的 4.12.0 到 4.17.0 版本。当多个并发请求触发 nonce 重试时,代理缓存获取器可能会执行错误的令牌请求结果查找。这可能允许攻击者在特定条件下拦截或操纵身份验证过程,从而可能危及应用程序安全。此漏洞限定于使用 /me/* 和 /my-org/* 代理处理程序且启用 DPoP 的应用程序。为了减轻此风险,必须升级到 4.18.0 或更高版本。
利用此漏洞需要特定条件:使用受影响的 SDK 版本、使用 /me/* 和 /my-org/* 配置的代理以及启用 DPoP。攻击者需要编排多个并发请求,以触发 nonce 重试,从而利用代理缓存获取器中的缺陷。这种利用的复杂性限制了总体风险,但令牌操作的可能性证明了立即更新的必要性。
漏洞利用状态
EPSS
0.04% (12% 百分位)
CISA SSVC
建议的解决方案是将 @auth0/nextjs-auth0 SDK 升级到 4.18.0 或更高版本。此版本包含修复程序,可解决代理缓存获取器的逻辑,防止错误的查找并减轻漏洞。如果无法立即更新,请仔细检查您的代理和 DPoP 配置以识别潜在的弱点。监控应用程序日志以查找与令牌请求相关的异常模式也可以帮助检测潜在的利用尝试。在进行任何配置更改或 SDK 更新后,建议进行彻底的测试。
Actualice la Auth0 Next.js SDK a la versión 4.18.0 o superior para mitigar el riesgo de una búsqueda incorrecta en la caché del proxy. Asegúrese de que su proyecto no utilice la combinación vulnerable de versiones y la configuración del proxy handler /me/* y /my-org/* con DPoP habilitado.
漏洞分析和关键警报直接发送到您的邮箱。
nonce 是在身份验证协议中用于防止重放攻击的唯一、一次性使用的数字。
DPoP (Proof of Possession) 是一种安全机制,允许客户端在不揭示密钥本身的情况下证明其拥有私钥。
它是一个组件,用于缓存令牌请求结果以提高性能。漏洞在于该组件如何处理 nonce 重试。
您可以通过在项目中使用 npm list @auth0/nextjs-auth0 或 yarn list @auth0/nextjs-auth0 来验证 SDK 版本。
如果您无法立即更新,请检查您的代理和 DPoP 配置,监控日志,并考虑实施额外的安全措施,例如限制请求速率。
CVSS 向量