Vulnerabilidad en NextAuth.js para Next.js (CVE-2023-48309)

NextAuth.js proporciona autenticación para Next.js. Las aplicaciones `next-auth` anteriores a la versión 4.24.5 que dependen de la autorización de Middleware predeterminada se ven afectadas por una vulnerabilidad. Un mal actor podría crear un usuario vacío/simulado al obtener un JWT emitido por NextAuth.js a partir de un flujo de inicio de sesión de OAuth interrumpido (estado, PKCE o nonce). Anular manualmente el valor de la cookie `next-auth.session-token` con este JWT no relacionado permitiría al usuario simular un usuario que ha iniciado sesión, aunque no tenga información de usuario asociada. (La única propiedad de este usuario es una cadena opaca generada aleatoriamente). Esta vulnerabilidad no da acceso a los datos de otros usuarios, ni a recursos que requieran la autorización adecuada a través de alcances u otros medios. El usuario simulado creado no tiene información asociada (es decir, no tiene nombre, correo electrónico, token de acceso, etc.). Los malos actores pueden aprovechar esta vulnerabilidad para echar un vistazo a los estados de los usuarios que han iniciado sesión (por ejemplo, el diseño del panel). `next-auth` `v4.24.5` contiene un parche para la vulnerabilidad. Como workaround, al utilizar una devolución de llamada de autorización personalizada para Middleware, los desarrolladores pueden realizar manualmente una autenticación básica.