Okta已经发布了一个关键的安全咨询警告开发人员和企业使用Auth0-PHP SDK关于一个严重漏洞,该漏洞可能允许攻击者通过对会话cookie的蛮力攻击获得未经授权的访问。
vulnerability该漏洞被跟踪为 CVE-2025-47275(CVSS 9.1),当配置为使用 CookieStore 进行会话管理时,会影响 Auth0-PHP SDK 和相关集成。advisory根据咨询:“使用Auth0-PHP SDK配置与CookieStore的应用程序的会话cookie具有可能强制的身份验证标签,这可能导致未经授权的访问。
安全研究员Félix Charette发现,这个漏洞暴露了利用SDK与Google,Facebook,Active Directory等流行身份提供商进行身份验证的Web应用程序的重大风险。
vulnerable如果您的申请符合以下两项标准,则您处于弱势:
- 它使用Auth0-PHP SDK,或依赖它的SDK之一:
- auth0/symfony(英语:auth0/sauth0/laravel-auth0auth0/wordpress
Okta强烈建议所有受影响的开发人员立即升级到以下安全版本:
- Laravel SDK → v7.17.0Symfony SDK → v5.4.0WordPress插件→v5.3.0
此外,咨询强调:“作为额外的预防措施,我们建议旋转您的cookie加密密钥。请注意,一旦更新,任何以前的会话cookie将被拒绝。
Auth0-PHP SDK 的下载量接近 1600 万次,广泛嵌入到各种生态系统中的 PHP 应用程序中,从小型企业网站到大型企业应用程序。
exploitation鉴于CVSS的高分和通过蛮力进行剥削的易用性,组织应该将其视为最高优先级的更新,并立即修补以减轻会话劫持和未经授权的访问风险。
