Vulnerabilidad en NextAuth.js (CVE-2022-31186)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-532
Exposición de información a través de archivos de log
Fecha de publicación:
01/08/2022
Última modificación:
09/08/2022
Descripción
NextAuth.js es una completa solución de autenticación de código abierto para aplicaciones Next.js. Una vulnerabilidad de divulgación de información en "next-auth" versiones anteriores a "v4.10.2" y "v3.29.9" permite a un atacante con privilegio de acceso al registro obtener información excesiva, como el secreto de un proveedor de identidad en el registro (que sea lanzada durante la administración de errores de OAuth) y usarla para aprovechar otros ataques al sistema, como hacerse pasar por el cliente para solicitar amplios permisos. Este problema ha sido parcheado en versiones "v4.10.2" y "v3.29.9" moviendo el registro de la información del "proveedor" al nivel de depuración. Además, hemos añadido una advertencia por tener la opción "debug: true" activada en producción. Si por alguna razón no puede actualizar, puede usar la opción de configuración "logger" saneando los registros
Impacto
Puntuación base 3.x
3.30
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:next-auth:nextauth.js:*:*:*:*:*:node.js:*:* | 3.29.9 (excluyendo) | |
| cpe:2.3:a:next-auth:nextauth.js:*:*:*:*:*:node.js:*:* | 4.0.0 (incluyendo) | 4.10.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página