一、 漏洞 CVE-2025-46345 基础信息
漏洞信息
                                        # Auth0 Account Link Extension JWT 验证签名无效

## 漏洞概述
Auth0 Account Link Extension 从版本 2.3.4 到 2.6.6 存在一个漏洞,这些版本未能验证提供的 JWT 签名,导致用户可以伪造令牌并访问用户信息,而无需适当授权。

## 影响版本
- 2.3.4 至 2.6.6

## 细节
该漏洞是因为在上述版本中,Auth0 Account Link Extension 不验证 JWT 令牌的签名,从而允许攻击者通过伪造的令牌访问用户信息。

## 影响
此漏洞可能导致未经授权的用户访问敏感信息。建议升级到 2.6.7、2.7.0 或 3.0.0 版本。强烈推荐升级到 3.0.0 或更高版本以修复此问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Auth0 Account Link Extension JWT Invalid Signature Validation
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Auth0 Account Link Extension is an extension aimed to help link accounts easily. Versions 2.3.4 to 2.6.6 do not verify the signature of the provided JWT. This allows the user the ability to supply a forged token and the potential to access user information without proper authorization. This issue has been patched in versions 2.6.7, 2.7.0, and 3.0.0. It is recommended to upgrade to version 3.0.0 or greater.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
使用欺骗进行的认证绕过
来源:美国国家漏洞数据库 NVD
漏洞标题
Auth0 Account Link Extension 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Auth0 Account Link Extension是Auth0 Extensions开源的一个旨在帮助轻松链接帐户的扩展。 Auth0 Account Link Extension 2.3.4版本至2.6.6版本存在安全漏洞,该漏洞源于JWT签名未验证,可能导致未授权访问用户信息。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-46345 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-46345 的情报信息