漏洞已在最新版本中修补
NPM软件包中的重要身份验证旁路缺陷可以使恶意演员接管受害者的电子邮件帐户。
NextAuth.js(nextAuth.js)中存在CVSS评分为9.1的漏洞,该漏洞是NextAuth.js,这是Next.js应用程序的开源身份验证软件包。
NPM软件包的用户正在使用电子邮件推广者在4.10.3或3.29.10之前的版本中,要么受错误的影响,安全咨询警告。
如果攻击者可以提出一个发送逗号分隔的电子邮件列表的请求,例如Attacker@Attacker.com,受害人@drogneld.com,对于登录端点,NextAuth.js会向攻击者和受害者的电子邮件地址发送电子邮件。
然后,攻击者可以作为新创建的用户登录,电子邮件为Attacker@Attacker.com,受害人@drogneld.com。
基本授权,例如email.endswith(“@noction.com”)在里面登入回调不会向开发人员传达威胁,即使使用 @Attacker.com地址,攻击者也会绕过授权。
修补
v4.10.3和v3.29.10中的维护者修补了该漏洞,该漏洞通过将发送到登录端点发送到登录端点的电子邮件值在访问其他任何地方。
“我们还添加了一个标准化识别器回调电子邮件推广者配置,您可以进一步调整系统认为有效的电子邮件地址的要求。”
一个还可以使用详细的解决方法对于任何无法修补的用户,建议更新到最新版本。
