Vulnerabilidad en "@next-auth/upstash-redis-adapter" (CVE-2022-39263)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-287 Autenticación incorrecta

Fecha de publicación:

28/09/2022

Última modificación:

03/03/2023

Descripción

"@next-auth/upstash-redis-adapter" es el adaptador de Upstash Redis para NextAuth.js, que proporciona autenticación para Next.js. Las aplicaciones que usan el proveedor de correo electrónico "next-auth" y "@next-auth/upstash-redis-adapter" versiones anteriores a 3.0.2, están afectadas por esta vulnerabilidad. La implementación del adaptador Upstash Redis no comprobaba tanto el identificador (correo electrónico) como el token, sino que sólo comprobaba el identificador cuando verificaba el token en el flujo de devolución de llamada del correo electrónico. Un atacante que conozca el correo electrónico de la víctima podría iniciar sesión fácilmente como la víctima, dado que el atacante también conoce la duración del token de verificación. La vulnerabilidad está parcheada en versión 3.0.2. Se presenta una mitigación disponible. usando la Inicialización Avanzada, los desarrolladores pueden comprobar las peticiones y comparar el token y el identificador de la consulta antes de proceder

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto