PT-2025-21575 · Auth0 · Auth0/Wordpress+3
Sideni
·
Publicado
2025-05-15
·
Atualizado
2025-05-20
·
CVE-2025-47275
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas:
Versões do Auth0-PHP de 8.0.0-BETA1 a 8.13.x
Descrição:
Este problema afeta aplicações que utilizam o SDK Auth0-PHP configurado com CookieStore, onde cookies de sessão possuem tags de autenticação que podem ser submetidas a ataques de força bruta, potencialmente resultando em acesso não autorizado. Esta questão requer pré-condições específicas para ser vulnerável: o uso do SDK Auth0-PHP ou SDKs relacionados (Auth0/symfony, Auth0/laravel-auth0 e Auth0/wordpress) que dependem do SDK Auth0-PHP, e armazenamento de sessão configurado com CookieStore.
Recomendações:
Atualize o Auth0/Auth0-PHP para a versão v8.14.0 para receber a correção.
Como medida de precaução adicional, rotacione as chaves de criptografia dos cookies.
Observe que, uma vez atualizado, quaisquer cookies de sessão anteriores serão rejeitados.
Exploit
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Auth0-Php
Auth0/Laravel-Auth0
Auth0/Symfony
Auth0/Wordpress