Zurück zur Liste

Authlib: Cross-site request forging when using cache — CVE-2026-41425

GitHub · GitHub · CVE-2026-41425

ID
CVE-2026-41425

Datum
2026-04-17

Aktualisiert
2026-05-14

Activity
2026-05-14

Quelle
GitHub

Vendor
GitHub

Risiko
medium

CVSS
5.4

EPSS
0.00015

Zusammenfassung

### Summary There is no CSRF protection on the cache feature on most integrations clients. ### Details In `authlib.integrations.starlette_client.OAuth`, no CSRF protection is set up when using the cache parameter. When _not_ using the cache parameter, the use of SessionMiddleware ties the client to the auth state, preventing CSRF attacks. With the cache, there is no such mechanism. Other integratons have the same…

Produkt

pip: authlib

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

Prüfe Exponierung und plane Maßnahmen nach Risiko und Umfeld.
Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Mehr dazu

GitHub GitHub 2026-W20

Assisted Installer RHEL 8 components for Multicluster Engine for Kubernetes 2.6.11

2026-05-14 RHSA-2026:17459

highRed Hat Red Hat 2026-W20

Assisted Installer RHEL 9 components for Multicluster Engine for Kubernetes 2.6.11

2026-05-14 RHSA-2026:17458

highRed Hat Red Hat 2026-W20

AutoMapper Vulnerable to Denial of Service (DoS) via Uncontrolled Recursion

2026-05-14 CVE-2026-32933

highGitHub GitHub 2026-W20

Important: firefox security update

2026-05-14 RHSA-2026:17477

highRed Hat Red Hat 2026-W20

Important: gimp:2.8 security update

2026-05-14 RHSA-2026:17533

highRed Hat Red Hat 2026-W20

Important: OpenShift Container Platform 4.12.90 bug fix and security update

2026-05-14 RHSA-2026:16180

highRed Hat Red Hat 2026-W20