CVE-2026-42565 in authkit-sessionالمعلومات

الملخص

بحسب VulDB • 12/05/2026

@workos/authkit-session هو مجموعة أدوات لبناء تكاملات إطار عمل WorkOS AuthKit. قبل الإصدار 0.5.1، يوجد ثغرة إعادة توجيه مفتوحة (Open Redirect) في دالة AuthService.handleCallback بسبب عدم كفاية التحقق من صحة قيمة returnPathname المشتقة من معلمة حالة OAuth (state parameter). يتم إعادة إرسال معلمة الحالة عبر مزود الهوية (IdP) ويمكن للمتسلل التأثير عليها. تقوم دالة handleCallback بفك تشفير قيمة returnPathname وإعادتها دون فرض قيود على المصدر أو المخطط (scheme). ونتيجة لذلك، قد يتم إرجاع قيم يتحكم فيها المتسلل إلى التطبيق. إذا تم استخدام هذه القيمة مباشرة في عملية إعادة توجيه، فقد يؤدي ذلك إلى إعادة توجيه المستخدم إلى موقع خارجي يتحكم فيه المتسلل. تم إصلاح هذه الثغرة في الإصدار 0.5.1.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

28/04/2026

إفشاء

11/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362768

CPE

جاهز

CWE

CWE-601 (مؤكد)

CVSS

4.3 (CNA)

EPSS

0.00029

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42565
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42565
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42565/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!