CVE-2025-46344

EPSS 0.09%
Veröffentlicht 29.04.2025 20:43:41
Zuletzt bearbeitet 02.05.2025 13:53:40
Quelle security-advisories@github.com
CVE-Watchlists
Login
Unerledigt
Login

The Auth0 Next.js SDK is a library for implementing user authentication in Next.js applications. Versions starting from 4.0.1 and prior to 4.5.1, do not invoke `.setExpirationTime` when generating a JWE token for the session. As a result, the JWE does not contain an internal expiration claim. While the session cookie may expire or be cleared, the JWE remains valid. This issue has been patched in version 4.5.1.

Betroffene Produkte Warnungen 0 Metriken 2 CWE 1 Referenzen 6

Verknüpft mit AI von unstrukturierten Daten zu bestehenden CPE der NVD

Diese Information steht angemeldeten Benutzern zur Verfügung.

Daten sind bereitgestellt durch das CVE Programm von einer CVE Numbering Authority (CNA) (Unstrukturiert).

Herstellerauth0

≫

Produkt nextjs-auth0

Version >= 4.0.1, < 4.5.1

Status affected

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.09%	0.253

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
security-advisories@github.com	4.9	0	0	CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:U/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

CWE-613 Insufficient Session Expiration

According to WASC, "Insufficient Session Expiration is when a web site permits an attacker to reuse old session credentials or session IDs for authorization."

https://github.com/auth0/nextjs-auth0/security/advisories/GHSA-pjr6-jx7r-j4r6

https://github.com/auth0/nextjs-auth0/commit/a4f061aed02ffa132feca8adfbd11704df17e1c3

https://github.com/auth0/nextjs-auth0/releases/tag/v4.5.1

https://nvd.nist.gov/vuln/detail/CVE-2025-46344

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2025-46344

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2025-46344

EUVD