CVE-2025-68481

Nome do Software Vulnerável e Versões Afetadas Versões do FastAPI Users anteriores à 15.0.2

Descrição O FastAPI Users é um sistema projetado para adicionar registro e autenticação a projetos FastAPI. Existe uma vulnerabilidade de Cross-Site Request Forgery (CSRF) de login porque os tokens de estado de login OAuth são sem estado e carecem de entropia por solicitação ou de dados que os vinculem à sessão de origem. A função generate state token() utiliza sempre um dicionário state data vazio, resultando em um JWT contendo apenas um claim de audiência fixo e um timestamp de expiração. No callback, a biblioteca verifica apenas a assinatura e a expiração do JWT, sem correlacioná-lo ao navegador de origem ou utilizar um cache no lado do servidor. Um atacante pode capturar o estado gerado pelo servidor, concluir o fluxo OAuth com sua própria conta e, em seguida, induzir uma vítima a carregar uma URL de callback manipulada. Isso permite que o atacante potencialmente assuma o controle da conta da vítima ou faça a vítima logar na conta do atacante. O endpoint da API /authorize e /callback?code=<attacker code>&state=<attacker state> estão envolvidos nesta questão. A função vulnerável é generate state token().

Recomendações Atualize para a versão 15.0.2 ou posterior do FastAPI Users.