@clerk/nextjs auth() 和 getAuth() 方法容易受到不安全的直接对象引用 (IDOR) 的影响 (CVE-2024-22206)
CVE编号
CVE-2024-22206利用情况
暂无补丁情况
N/A披露时间
2024-01-13漏洞描述
Clerk是一个帮助开发人员构建用户管理系统的工具。在其App Router的auth()或Pages Router的getAuth()中存在一个逻辑缺陷,攻击者利用此漏洞可能未经授权访问或提升特权。该漏洞已在版本4.29.3中修复。解决建议
"将组件 @clerk/nextjs 升级至 4.29.3 及以上版本"
参考链接 |
|
|---|---|
| https://clerk.com/changelog/2024-01-12 | |
| https://github.com/clerk/javascript/releases/tag/%40clerk%2Fnextjs%404.29.3 | |
| https://github.com/clerk/javascript/security/advisories/GHSA-q6w5-jg5q-47vg |
- 攻击路径 网络
- 攻击复杂度 高
- 权限要求 无
- 影响范围 已更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-284 | 访问控制不恰当 |
| CWE-287 | 认证机制不恰当 |
| CWE-639 | 通过用户控制密钥绕过授权机制 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论