CVE-2025-48947

Nome do Software Vulnerável e Versões Afetadas SDK Auth0 Next.js versões 4.0.1 a 4.6.0

Descrição A questão refere-se ao cache dos cookies session definidos por auth0.middleware em ambientes de CDN devido à ausência de cabeçalhos Cache-Control. Três pré-condições devem ser satisfeitas para que a vulnerabilidade seja explorada: a aplicação deve utilizar o SDK NextJS-Auth0, versões entre 4.0.1 e 4.6.0, utilizar cache de CDN ou edge que armazene em cache respostas com o cabeçalho Set-Cookie, e o cabeçalho Cache-Control não deve estar configurado corretamente para respostas sensíveis.

Recomendações Para as versões 4.0.1 a 4.6.0 do SDK Auth0 Next.js, atualize o auth0/nextjs-auth0 para a v4.6.1 para receber a correção. Como solução alternativa temporária, considere garantir que o cabeçalho Cache-Control esteja configurado corretamente para respostas sensíveis para minimizar o risco de exploração.