@workos/authkit-session has an Open Redirect via state-derived redirect target — CVE-2026-42565
GitHub · GitHub · CVE-2026-42565
ID
CVE-2026-42565
CVE-2026-42565
Date
Mis à jour
Activity
Source
GitHub
GitHub
Fournisseur
GitHub
GitHub
Risque
medium
medium
CVSS
4.3
4.3
EPSS
0.00026
0.00026
Résumé
An open redirect vulnerability exists in `AuthService.handleCallback` due to insufficient validation of the `returnPathname` value derived from the OAuth `state` parameter. The `state` parameter is round-tripped through the identity provider (IdP) and can be influenced by an attacker. The handleCallback function decodes and returns returnPathname without enforcing restrictions on origin or scheme. As a result,…
Produit
npm: @workos/authkit-session
Que faire
Mesures générales et prudentes (vérifiez les détails dans la source officielle) :
- Évaluez l’exposition et planifiez la remédiation selon le risque et l’environnement.
- Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
- Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
- Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.