Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Authlib は、OAuth および OpenID Connect サーバーを構築する Python ライブラリの一種です。バージョン 1.6.5 以前では、キャッシュバックされた状態/リクエストトークンストレージが、開始したユーザーセッションに関連付けられていません。そのため、有効な状態を持つ攻撃者に対して CSRF が可能です (攻撃者が開始した認証フローを通じて容易に取得可能です)。
    キャッシュが OAuth クライアントレジストリに提供されると、FrameworkIntegration.set_state_data は _state_{app}_{state} の下に状態ブロブ全体を書き込み、get_state_data は呼び出し元のセッションをすべて無視します。
    この問題には、バージョン 1.6.6 でパッチが適用されています。(CVE-2025-68158)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2025-68158

high Nessus プラグイン ID 282484

バージョン 1.5