CVE-2026-42565 in authkit-sessioninformation

Résumé

par VulDB • 16/05/2026

@workos/authkit-session est une boîte à outils permettant de créer des intégrations avec le framework WorkOS AuthKit. Avant la version 0.5.1, une vulnérabilité de redirection ouverte (open redirect) existe dans la méthode `AuthService.handleCallback` en raison d'une validation insuffisante de la valeur `returnPathname` dérivée du paramètre d'état OAuth. Le paramètre d'état est transmis en aller-retour via le fournisseur d'identité (IdP) et peut être influencé par un attaquant. La fonction `handleCallback` décode et renvoie `returnPathname` sans imposer de restrictions sur l'origine ou le schéma. Par conséquent, des valeurs contrôlées par l'attaquant peuvent être renvoyées à l'application. Si cette valeur est utilisée directement dans une redirection, elle peut entraîner la redirection de l'utilisateur vers un site externe contrôlé par l'attaquant. Cette vulnérabilité est corrigée dans la version 0.5.1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

28/04/2026

Divulgation

11/05/2026

Modérer

accepté

Entrée

VDB-362768

CPE

prêt

EPSS

0.00029

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42565
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42565
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42565/

PrécédentAperçuSuivant

Interested in the pricing of exploits?

See the underground prices here!