一、 漏洞 CVE-2025-53548 基础信息
漏洞信息
                                        # @clerk/backend 对数据真实性的验证不足

## 漏洞概述
Clerk 是一款帮助开发者构建用户管理的应用程序。使用 `verifyWebhook()` 方法验证传入的 Clerk 网络钩子的应用程序可能存在接受不当签名的网络钩子事件的风险。

## 影响版本
- `@clerk/backend` 版本低于 2.4.0

## 漏洞细节
应用程序使用 `verifyWebhook()` 辅助函数来验证传入的 Clerk 网络钩子时,可能无法正确验证网络钩子事件的签名,从而导致接受不正确的签名事件。

## 影响
漏洞可能导致应用程序接受未正确签名的网络钩子事件,这可能引起安全问题,如未经授权的访问或其他恶意行为。该问题已在 `@clerk/backend` 2.4.0 版本中解决。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
@clerk/backend Performs Insufficient Verification of Data Authenticity
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Clerk helps developers build user management. Applications that use the verifyWebhook() helper to verify incoming Clerk webhooks are susceptible to accepting improperly signed webhook events. The issue was resolved in @clerk/backend 2.4.0.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
对数据真实性的验证不充分
来源:美国国家漏洞数据库 NVD
漏洞标题
Official Clerk JavaScript SDKs 数据伪造问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Official Clerk JavaScript SDKs是Clerk开源的一个用于 Clerk 身份验证的官方 Javascript 存储库。 Official Clerk JavaScript SDKs存在数据伪造问题漏洞,该漏洞源于verifyWebhook验证不足,可能导致接受未签名webhook事件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-53548 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-53548 的情报信息