CVE-2025-25202

Nome do Software Vulnerável e Versões Afetadas Versões do AshAuthentication de 4.1.0 a 4.4.8

Descrição O problema afeta aplicações que foram inicializadas pelo novo instalador igniter desde o AshAuthentication v4.1.0 e que utilizaram a estratégia de link mágico ou estão revogando tokens manualmente. Tokens revogados podem ser verificados como válidos, mas o impacto é baixo devido ao curto período de validade dos tokens de link mágico, que é de 10 minutos por padrão. A falha também afeta redefinições de senha e tokens de confirmação, que são reutilizáveis até expirarem em vez de serem revogados imediatamente.

Recomendações Para as versões de 4.1.0 a 4.4.8, atualize para a versão 4.4.9, que inclui uma correção para o problema. Alternativamente, execute o atualizador manualmente usando mix ash authentication.upgrade 4.4.8 4.4.9 ou exclua a ação genérica :revoked? gerada no recurso de token para usar a versão interna correta. Como solução temporária, considere remover allow nil?: false dos argumentos da ação e garantir que a ação retorne :boolean.