GHSA-g8x5-p9qc-cf95 · 深刻度: high · エコシステム: npm — @fastify/oauth2 vulnerable to Cross Site Request Forgery due to reused Oauth2 state
All versions of @fastify/oauth2 used a statically generated state parameter at startup time and were used across all requests for all users. The purpose of the Oauth2 state parameter is to prevent Cross-Site-Request-Forgery attacks. As such, it should be unique per user and should be connected to the user's session in some way that will allow the server to validate it. v7.2.0 changes the default behavior to store the state in a cookie with the http-only and same-site=lax attributes set. The state is now by default generated for every user. Note that this contains a breaking change in the checkStateFunction function, which now accepts the full Request object.
総合評価: CVE-2023-31999 は悪用リスクが高い(67.1/100)。CVSS 深刻度は高。悪用される可能性が高い(EPSS 0.68%、48 パーセンタイル) 根拠: 公開エクスプロイトが 1 件参照されています(Exploit-DB)。 推奨対応: 公開エクスプロイトが確認されています。影響範囲の確認、緩和策の適用、パッチ適用を優先してください。
リスクは変動します。再評価に基づき、本ページの表示内容を更新しています。
| EDB-ID | ソース | 種別 | 公開 | リンク |
|---|---|---|---|---|
| — | nvd_ref | exploit_tag | Exploit-DB ↗ |
EPSS は日次で悪用されやすさの相対度合いを推定します。パーセンタイルは採点済み CVE の中での相対位置(高いほど相対的に深刻)を示します。
| # | 日付 | 旧 EPSS スコア | 新 EPSS スコア | Δ(新 − 旧) |
|---|---|---|---|---|
| 1 | 2026-07-04 | 0.58% | 0.68% | +0.10% |
| 2 | 2026-06-15 | 1.31% | 0.58% | -0.73% |
| 3 | 2026-03-29 | — | 1.31% | — |
EPSS の全履歴 (全 47 件)
この CVE の CVSS 指標。
| ベーススコア | バージョン | 深刻度 | ベクトル | 悪用しやすさ | 影響 | スコアの出典 |
|---|---|---|---|---|---|---|
| 8.8 | 3.1 | HIGH |
|
2.8 | 5.9 | [email protected] |
GHSA-g8x5-p9qc-cf95 · 深刻度: high · エコシステム: npm — @fastify/oauth2 vulnerable to Cross Site Request Forgery due to reused Oauth2 state
| vendor | priority | summary | link |
|---|---|---|---|
redhat
|
medium | — | https://access.redhat.com/security/cve/CVE-2023-31999 |
| URL | タグ |
|---|---|
| https://auth0.com/docs/secure/attack-protection/state-parameters | Exploit |
| https://github.com/fastify/fastify-oauth2/releases/tag/v7.2.0 | Release Notes |
| https://hackerone.com/reports/2020418 | Permissions Required |