CVE-2025-67716CVE-2025-67716是Auth0 Next.js SDK中的一个输入验证漏洞。该SDK是用于在Next.js应用程序中实现用户身份验证的官方库。漏洞存在于returnTo参数的处理逻辑中,攻击者可以利用此缺陷向Auth0授权请求注入任意的OAuth查询参数。受影响的版本为4.9.0至4.12.1。由于returnTo参数用于在认证成功后重定向用户,攻击者可以通过注入额外的OAuth参数(如scope、prompt等)来改变授权请求的行为。这可能导致认证流程被操纵,令牌被颁发带有意外参数或权限,从而影响应用程序的安全性。攻击成功的关键在于利用Auth0授权服务器对OAuth参数的处理,攻击者可以在授权URL中添加或修改参数值。此漏洞由GitHub安全团队发现并在4.13.0版本中修复。
该漏洞的核心是Auth0 Next.js SDK对returnTo参数的验证不足。在OAuth 2.0授权流程中,returnTo参数用于指定认证成功后的回调URL。攻击者可以构造特殊的returnTo URL,在其中注入额外的OAuth查询参数。例如,攻击者可以在回调URL中添加prompt=consent参数,强制Auth0服务器显示同意页面;或者注入scope参数以请求额外的权限。SDK在构建授权请求时,会将returnTo URL的查询参数合并到授权请求中,但缺乏对参数的过滤和验证。这允许攻击者修改OAuth授权请求的行为。攻击者需要诱骗受害者访问恶意链接,受害者的认证会话会被操纵。成功利用后,攻击者可能获取带有意外权限的访问令牌或ID令牌,从而在目标应用程序中获得未授权的访问权限。