CVE-2026-42565 in authkit-session
要約
〜によって VulDB • 2026年05月11日
@workos/authkit-session は、WorkOS AuthKit フレームワークの統合を構築するためのツールキットです。バージョン 0.5.1 より前では、OAuth ステートパラメータから派生した returnPathname 値の検証が不十分であるため、AuthService.handleCallback にオープンリダイレクトの脆弱性が存在します。ステートパラメータはアイデンティティプロバイダ(IdP)を経由して往復し、攻撃者が影響を与える可能性があります。handleCallback 関数は、origin やスキームに対する制限を適用せずに returnPathname をデコードして返します。その結果、攻撃者が制御する値がアプリケーションに返される可能性があります。この値がリダイレクトに直接使用されると、ユーザーが攻撃者が制御する外部サイトにリダイレクトされる原因となります。この脆弱性は 0.5.1 で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.