PT-2025-18209 · Auth0 · Auth0 Next.Js Sdk
Kevinroh-Oktapublished
·
Publicado
2025-04-29
·
Atualizado
2025-04-30
·
CVE-2025-46344
CVSS v4.0
4.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:U |
Nome do Software Vulnerável e Versões Afetadas
Auth0 Next.js SDK versões 4.0.1 a 4.5.0
Descrição
O problema surge devido à falha em invocar
.setExpirationTime ao gerar um token JWE para a sessão no Auth0 Next.js SDK. Isso resulta no JWE não conter uma claim de expiração interna. Consequentemente, mesmo que o cookie de sessão expire ou seja limpo, o JWE permanece válido.Recomendações
Para as versões 4.0.1 a 4.5.0, atualize para a versão 4.5.1 para resolver o problema.
Exploit
Correção
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Auth0 Next.Js Sdk