CVE-2026-42565 in authkit-sessioninformación

Resumen

por VulDB • 2026-05-26

@workos/authkit-session es un kit de herramientas para construir integraciones del framework WorkOS AuthKit. Antes de la versión 0.5.1, existe una vulnerabilidad de redirección abierta (open redirect) en AuthService.handleCallback debido a una validación insuficiente del valor returnPathname derivado del parámetro de estado OAuth. El parámetro de estado se envía y recibe a través del proveedor de identidad (IdP) y puede ser influenciado por un atacante. La función handleCallback decodifica y devuelve returnPathname sin imponer restricciones sobre el origen o el esquema. Como resultado, los valores controlados por el atacante pueden ser devueltos a la aplicación. Si este valor se utiliza directamente en una redirección, puede provocar que el usuario sea redirigido a un sitio externo controlado por el atacante. Esta vulnerabilidad se corrige en la versión 0.5.1.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-28

Divulgación

2026-05-11

Moderación

aceptado

Artículo

VDB-362768

CPE

listo

EPSS

0.00029

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42565
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42565
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42565/

AnteriorVisión De ConjuntoPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!