A közelmúltban súlyos biztonsági rést azonosítottak az Auth0-PHP SDK-ban, amely lehetőséget adhat a támadók számára jogosulatlan hozzáférés megszerzésére. A hiba az Auth0-PHP SDK 8.0.0-BETA1 vagy újabb verzióit érinti, amennyiben a fejlesztők a CookieStore munkamenet-kezelési konfigurációt használják. Ebben az esetben a session-cookie-khoz generált autentikációs tag-ek olyan gyenge pontokat tartalmaznak, amelyek lehetővé teszik azok kiszámítását vagy kitalálását. A sérülés tehát nem a hitelesítés logikai folyamatában, hanem a kriptográfiai integritásvédelmi rétegben rejlik, amely az egyes munkamenet-azonosítók megbízhatóságát hivatott garantálni.
A biztonsági kutatók megállapították, hogy megfelelő eszközökkel ezek a hitelesítő címkék automatizált támadással (offline brute-force) visszafejthetők vagy meghamisíthatók. Ennek eredményeképp egy támadó a kliens-oldali süti manipulálásával képes lehet belépni egy adott felhasználó nevében úgy, hogy nem rendelkezik sem jelszóval, sem más azonosító adattal. Ez az állapot gyakorlatilag megkerüli az Auth0 által biztosított teljes hitelesítési folyamatot. Egy sikeres támadás lehetőséget adhat személyes adatok megtekintésére, módosítására, tranzakciók indítására, vagy akár rendszerszintű műveletek végrehajtására, attól függően, hogy a célalkalmazás milyen jogosultságokat társít a munkamenethez.
A sérülékenység kifejezetten azon implementációkban van jelen, amelyek a CookieStore mechanizmust alkalmazzák munkamenetek tárolására. Az alternatív megoldásokat (pl. szerveroldali session-tárolás vagy adatbázis-alapú session-kezelés) használó rendszerek nem érintettek közvetlenül. Ugyanakkor a sebezhetőség hatása nem korlátozódik egyetlen platformra: számos Auth0-integrációs csomag, köztük a Symfony-hoz, Laravel-hez és WordPress-hez készült modulok is potenciálisan sérülékenyek lehetnek, amennyiben azok a problémás tárolási konfigurációval működnek.
Az Okta – az Auth0 anyavállalata – kiadta az SDK 8.14.0 verzióját, amely javítja a hibát. A frissítés technikai tartalma a hitelesítő címkék generálásához használt kriptográfiai mechanizmus módosítását foglalja magában, ezáltal megszüntetve a brute-force támadások lehetőségét. A cég egyúttal azt is javasolja, hogy az érintett rendszerek fejlesztői cseréljék le az összes meglévő cookie-titkosítási kulcsot, ezáltal érvénytelenítve a korábban kibocsátott munkameneteket arra az esetre, ha azok kompromittálódtak volna.
A javítás alkalmazása a gyakorlatban azt is jelenti, hogy a frissítés után minden felhasználónak újra kell hitelesítenie magát, mivel a régi munkamenet-sütiket a rendszer érvénytelennek fogja tekinteni. Bár ez kényelmi szempontból némi fennakadást okozhat, biztonsági oldalról nézve fontos lépés.