Vulnerabilidad en NextAuth.js (CVE-2022-31093)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/06/2022
Última modificación:
07/07/2022
Descripción
NextAuth.js es una solución completa de autenticación de código abierto para aplicaciones Next.js. En las versiones afectadas, un atacante puede enviar una petición a una aplicación usando NextAuth.js con un parámetro de consulta "callbackUrl" no válido, que internamente es convertido en un objeto "URL". La instanciación de la URL fallaba debido a que era pasada una URL malformada al constructor, lo que causaba que fuera lanzado un error no manejado que conllevaba a que el **manejador de rutas de la API se desconectara y el inicio de sesión fallara**. Esto ha sido remediado en versiones 3.29.5 y 4.5.0. Si por alguna razón no puedes actualizar, la mitigación requiere que te apoyes en la Inicialización Avanzada. Consulte la documentación para obtener más información
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nextauth.js:next-auth:*:*:*:*:*:node.js:*:* | 3.0.0 (incluyendo) | 3.29.5 (excluyendo) |
| cpe:2.3:a:nextauth.js:next-auth:*:*:*:*:*:node.js:*:* | 4.0.0 (incluyendo) | 4.5.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/nextauthjs/next-auth/commit/25517b73153332d948114bacdff3b5908de91d85
- https://github.com/nextauthjs/next-auth/commit/e498483b23273d1bfc81be68339607f88d411bd6
- https://github.com/nextauthjs/next-auth/security/advisories/GHSA-g5fm-jp9v-2432
- https://next-auth.js.org/configuration/initialization#advanced-initialization