CVE-2026-41425Authlib是用于构建OAuth和OpenID Connect服务器的Python库。在1.6.11版本之前,authlib.integrations.starlette_client.OAuth组件中的缓存功能缺乏CSRF保护。攻击者可利用此漏洞诱骗用户执行非预期的操作,该问题已在1.6.11版本中修复。
该漏洞的核心在于Authlib集成Starlette框架实现OAuth客户端时,其缓存机制未实施有效的跨站请求伪造(CSRF)防护。在标准的OAuth流程中,状态参数或CSRF令牌用于确保请求来源的合法性。然而,受影响版本在处理缓存相关的OAuth请求时,未严格校验这些令牌。攻击者可构造恶意HTML页面或链接,诱导已登录的受害者访问。由于浏览器会自动携带认证凭证,且服务器端缺乏CSRF验证,恶意请求将被误认为是合法的OAuth操作。这可能导致攻击者劫持用户的OAuth授权流程,获取访问令牌或修改用户绑定信息。