漏洞关键信息 漏洞标题 @clerk/backend: Webhook verification vulnerability 严重性 等级: High (7.5/10) CVSS v3 基本指标: - 攻击向量: Network - 攻击复杂度: Low - 特权要求: None - 用户交互: None - 范围: Unchanged - 机密性影响: None - 完整性影响: High - 可用性影响: None CVE ID CVE-2025-53548 弱点 CWE-345 影响 使用 帮助程序验证传入 Clerk webhook 的应用程序容易接受签名不正确的 webhook 事件。 影响的包和版本 解决方案 问题在 @clerk/backend 2.4.0 中得到解决,通过正确解析 webhook 请求的签名并将其与从接收到的事件生成的签名进行比较。 解决方法 如果无法升级,开发人员可以通过手动验证 webhooks 来绕过此问题,具体参见 此文档。