Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Ash Authentication (CVE-2025-25202)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-269 Gestión de privilegios incorrecta
Fecha de publicación:
11/02/2025
Última modificación:
27/08/2025

Descripción

Ash Authentication es un framework de autenticación para aplicaciones Elixir. Las aplicaciones que se han iniciado con el instalador de Igniter presente desde AshAuthentication v4.1.0 y que han utilizado la estrategia de enlace mágico _o_ están revocando tokens manualmente se ven afectadas por el hecho de que se permite que los tokens revocados se verifiquen como válidos. A menos que uno haya implementado algún tipo de función de revocación de token personalizada en su aplicación, no se verá afectado. El impacto aquí para los usuarios que utilizan la funcionalidad incorporada es que los tokens de enlace mágico se pueden reutilizar hasta que caduquen. Dicho esto, los tokens de enlace mágico solo son válidos durante 10 minutos, por lo que la superficie de abuso es extremadamente baja aquí. La falla se corrige en la versión 4.4.9. Además, se muestra una advertencia de tiempo de compilación a los usuarios con instrucciones de solución si actualizan. 4.4.9 se envía con un actualizador, por lo que aquellos que usan `mix igniter.upgrade ash_authentication` tendrán el parche necesario aplicado. De lo contrario, uno puede ejecutar el actualizador manualmente como se describe en el mensaje de error. Como workaround, elimine la acción genérica `:revoked?` generada en el recurso de token. Esto hará que utilice la acción interna de Ash Authentication que siempre ha sido correcta. Como alternativa, realice manualmente los cambios que se incluyen en el parche.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.30 MEDIA
Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Bajo
Integrity (VI): Bajo
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0
6.30
Gravedad 4.0
MEDIA
Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:alembic:ash_authentication:*:*:*:*:*:*:*:* 4.1.0 (incluyendo) 4.4.9 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información