CVE-2022-24858

Versões do next-auth de 3.0.0 a 3.29.1

Versões do next-auth de 4.0.0 a 4.3.1

O problema afeta os usuários do next-auth, sendo impactadas as versões 3 anteriores à 3.29.2 e as versões 4 anteriores à 4.3.2. Para resolver o problema, a atualização para a versão 3.29.2 ou 4.3.2 corrigirá a vulnerabilidade. Se a atualização não for possível, adicionar uma configuração à opção callbacks pode mitigar o problema. Para usuários com um callback redirect existente, é essencial comparar a origem da url recebida com a baseUrl para evitar exploração.

Para as versões 3.0.0 a 3.29.1 do next-auth, atualize para a versão 3.29.2 para corrigir a vulnerabilidade.

Para as versões 4.0.0 a 4.3.1 do next-auth, atualize para a versão 4.3.2 para corrigir a vulnerabilidade.

Como solução alternativa temporária, considere adicionar uma configuração à opção callbacks para validar a origem da url em relação à baseUrl.

Se você já tiver um callback redirect, modifique-o para comparar a origem da url recebida com a baseUrl, usando uma função semelhante a:

async redirect({ url, baseUrl }) {

  if (url.startsWith(“/”)) return new URL(url, baseUrl).toString()

  else if (new URL(url).origin === baseUrl) return url

  return baseUrl

}