发布日期：2025-02-11
更新日期：2025-06-26

受影响系统：

Alembic Ash Authentication >= 4.1.0 < 4.4.9

描述：

---

CVE(CAN) ID: CVE-2025-25202

Ash Authentication是Alembic开源的一个 Ash 身份验证框架。
Ash Authentication 4.1.0至4.4.9之前版本存在访问限制绕过漏洞，攻击者可利用该漏洞通过igniter安装程序引导的应用程序，如果使用了魔法链接策略（magic link strategy）或者手动撤销令牌（manually revoking tokens），则会受到已撤销令牌被允许验证为有效的影响。

<**>

建议：

---

厂商补丁：

Alembic
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/team-alembic/ash_authentication/releases/tag/v4.4.9

浏览次数：50
严重程度：0（网友投票）