python-social-auth social-app-django bis 5.5.x Authentication Service associate_by_email Remote Code Execution
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.4 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle, die als problematisch eingestuft wurde, wurde in python-social-auth social-app-django bis 5.5.x gefunden. Dies betrifft die Funktion associate_by_email der Komponente Authentication Service Handler. Durch Manipulieren mit unbekannten Daten kann eine Remote Code Execution-Schwachstelle ausgenutzt werden.
Diese Verwundbarkeit ist als CVE-2025-61783 gelistet. Der Angriff kann über das Netzwerk erfolgen. Es existiert kein Exploit.
Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
In python-social-auth social-app-django bis 5.5.x wurde eine problematische Schwachstelle entdeckt. Betroffen ist die Funktion associate_by_email der Komponente Authentication Service Handler. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Remote Code Execution-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-303. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Python Social Auth is a social authentication/registration mechanism. In versions prior to 5.6.0, upon authentication, the user could be associated by e-mail even if the `associate_by_email` pipeline was not included. This could lead to account compromise when a third-party authentication service does not validate provided e-mail addresses or doesn't require unique e-mail addresses. Version 5.6.0 contains a patch. As a workaround, review the authentication service policy on e-mail addresses; many will not allow exploiting this vulnerability.Bereitgestellt wird das Advisory unter github.com. Die Verwundbarkeit wird seit dem 30.09.2025 als CVE-2025-61783 geführt. Sie gilt als schwierig ausnutzbar. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.
Ein Aktualisieren auf die Version 5.6.0 vermag dieses Problem zu lösen. Die Schwachstelle lässt sich auch durch das Einspielen des Patches 10c80e2ebabeccd4e9c84ad0e16e1db74148ed4c lösen. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒
CVSSv3
VulDB Meta Base Score: 5.6VulDB Meta Temp Score: 5.4
VulDB Base Score: 5.6
VulDB Temp Score: 5.4
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Remote Code ExecutionCWE: CWE-303
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: social-app-django 5.6.0
Patch: 10c80e2ebabeccd4e9c84ad0e16e1db74148ed4c
Timeline
30.09.2025 CVE zugewiesen10.10.2025 Advisory veröffentlicht
10.10.2025 VulDB Eintrag erstellt
10.10.2025 VulDB Eintrag letzte Aktualisierung
Quellen
Produkt: github.comAdvisory: 220
Status: Bestätigt
CVE: CVE-2025-61783 (🔒)
GCVE (CVE): GCVE-0-2025-61783
GCVE (VulDB): GCVE-100-327817
Eintrag
Erstellt: 10.10.2025 08:29Anpassungen: 10.10.2025 08:29 (71)
Komplett: 🔍
Cache ID: 216::103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.