Vulnerabilidad en Auth0-PHP (CVE-2025-47275)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
15/05/2025
Última modificación:
16/05/2025
Descripción
Auth0-PHP proporciona el SDK de PHP para las API de autenticación y administración de Auth0. A partir de la versión 8.0.0-BETA1 y anteriores a la 8.14.0, las cookies de sesión de las aplicaciones que utilizan el SDK de Auth0-PHP configurado con CookieStore tienen etiquetas de autenticación susceptibles de ataques de fuerza bruta, lo que puede provocar accesos no autorizados. Se requieren ciertas condiciones para ser vulnerables a este problema: Aplicaciones que utilizan el SDK de Auth0-PHP o los SDK de Auth0/Symfony, Auth0/Laravel-auth0 y Auth0/WordPress que dependen del SDK de Auth0-PHP; y almacenamiento de sesiones configurado con CookieStore. Actualice Auth0/Auth0-PHP a la versión 8.14.0 para recibir una actualización. Como medida de precaución adicional, se recomienda rotar las claves de cifrado de cookies. Tenga en cuenta que, una vez actualizada, se rechazarán las cookies de sesión anteriores.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Referencias a soluciones, herramientas e información
- https://github.com/auth0/auth0-PHP/commit/52a79480fdb246f59dbc089b81a784ae049bd389
- https://github.com/auth0/auth0-PHP/releases/tag/8.14.0
- https://github.com/auth0/auth0-PHP/security/advisories/GHSA-g98g-r7gf-2r25
- https://github.com/auth0/laravel-auth0/security/advisories/GHSA-9fwj-9mjf-rhj3
- https://github.com/auth0/symfony/security/advisories/GHSA-9wg9-93h9-j8ch
- https://github.com/auth0/wordpress/security/advisories/GHSA-2f4r-34m4-3w8q