漏洞信息详情
ZEIT Next.js和NextAuth.js 输入验证错误漏洞
- CNNVD编号:CNNVD-202208-2038
- 危害等级: 超危
- CVE编号: CVE-2022-35924
- 漏洞类型: 输入验证错误
- 发布时间: 2022-08-02
- 威胁类型: 远程
- 更新时间: 2022-08-11
- 厂 商:
- 漏洞来源:
漏洞简介
ZEIT Next.js是ZEIT公司的一款基于Vue.js、Node.js、Webpack和Babel.js的开源Web应用框架。NextAuth.js是 Next.js 的身份验证。
Next.js 的NextAuth.js组件存在输入验证错误漏洞,该漏洞源于攻击者可以伪造向登录端点发送以逗号分隔的电子邮件列表的请求(例如:[email protected],[email protected]),NextAuth.js将向攻击者和受害者的电子邮件地址发送电子邮件。然后攻击者可以以新创建的用户身份登录电子邮件,这意味允许攻击者绕过授权。以下版本受到影响:3.29.10之前的版本、4.10.3之前的版本。
漏洞公告
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/nextauthjs/next-auth/security/advisories/GHSA-xv97-c62v-4587
参考网址
来源:MISC
链接:https://next-auth.js.org/configuration/callbacks#sign-in-callback
来源:CONFIRM
链接:https://github.com/nextauthjs/next-auth/security/advisories/GHSA-xv97-c62v-4587
来源:MISC
链接:https://en.wikipedia.org/wiki/Email_address#Local-part
来源:MISC
链接:https://next-auth.js.org/providers/email#normalizing-the-e-mail-address
来源:MISC
链接:https://github.com/nextauthjs/next-auth/commit/afb1fcdae3cc30445038ef588e491d139b916003
来源:MISC
链接:https://next-auth.js.org/configuration/initialization#advanced-initialization
来源:MISC
链接:https://nodemailer.com/message/addresses
来源:cxsecurity.com
链接:https://cxsecurity.com/cveshow/CVE-2022-35924/
受影响实体
暂无
补丁
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论