Vulnerabilidad en Auth0 Next.js (CVE-2025-48947)

Gravedad CVSS v4.0:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

04/06/2025

Última modificación:

05/06/2025

Descripción

El SDK de Auth0 Next.js es una librería para implementar la autenticación de usuarios en aplicaciones Next.js. En las versiones 4.0.1 a 4.6.0 del SDK de Auth0 Next.js, las cookies `__session` establecidas por auth0.middleware podrían ser almacenadas en caché por las CDN debido a la falta de encabezados Cache-Control. Se deben cumplir tres requisitos para que una persona se vea afectada por la vulnerabilidad: aplicaciones que utilizan el SDK de NextJS-Auth0 (versiones entre la 4.0.1 y la 4.6.0), aplicaciones que utilizan CDN o caché perimetral que almacena en caché las respuestas con el encabezado Set-Cookie, y si el encabezado Cache-Control no está configurado correctamente para respuestas sensibles. Los usuarios deben actualizar auth0/nextjs-auth0 a la versión 4.6.1 para recibir un parche.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L CVSS v4.0 Severidad y Métricas:

Puntuación base: 7.70 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Passsive
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Bajo
Integrity (SI): Bajo
Availability (SA): Bajo

Puntuación base 4.0

7.70

Gravedad 4.0

ALTA

Referencias a soluciones, herramientas e información

https://github.com/auth0/nextjs-auth0/security/advisories/GHSA-f3fg-mf2q-fj3f