Vulnerabilidad en Auth0-PHP (CVE-2025-48951)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
03/06/2025
Última modificación:
04/06/2025
Descripción
Auth0-PHP es un SDK de PHP para las API de autenticación y administración de Auth0. Las versiones 8.0.0-BETA3 anteriores a la 8.14.0 contienen una vulnerabilidad debido a la deserialización insegura de los datos de las cookies. Si se explota, dado que los SDK procesan el contenido de las cookies sin autenticación previa, un atacante podría enviar una cookie especialmente diseñada con datos serializados maliciosos. Las aplicaciones que utilizan el SDK de Auth0-PHP se ven afectadas, al igual que las aplicaciones que utilizan los SDK de Auth0/Symfony, Auth0/Laravel-auth0 o Auth0/WordPress, ya que estos SDK dependen de las versiones 8.0.0-BETA3 a 8.14.0 del SDK de Auth0-PHP. La versión 8.14.0 incluye un parche para este problema.
Impacto
Puntuación base 4.0
9.30
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://github.com/auth0/auth0-PHP/commit/04b1f5daa8bdfebc5e740ec5ca0fb2df1648a715
- https://github.com/auth0/auth0-PHP/security/advisories/GHSA-v9m8-9xxp-q492
- https://github.com/auth0/laravel-auth0/security/advisories/GHSA-c42h-56wx-h85q
- https://github.com/auth0/symfony/security/advisories/GHSA-98j6-67v3-mw34
- https://github.com/auth0/wordpress/security/advisories/GHSA-862m-5253-832r