Если вы используете Auth0 PHP SDK для авторизации пользователей через соцсети или корпоративные учётки — стоит срочно проверить версию. Исследователи сообщили о критической уязвимости, которая позволяет атакующему выполнить произвольный код на сервере, просто отправив cookies.
Уязвимость получила идентификатор CVE-2025-48951 и очень высокий балл по шкале CVSS — 9.3.
Это критическая проблема, без вариантов. Её корень — в небезопасной десериализации данных из куки, которую SDK обрабатывает ещё до авторизации.
Проще говоря: злоумышленник может сгенерировать особый cookie, подсунуть его серверу — и тот выполнит вредоносный код, даже если пользователь не вошёл в систему.
Кто под угрозой?
Если вы используете один из следующих пакетов:
auth0/auth0-phpверсии от 8.0.0-BETA3 до 8.3.0;- или сторонние обёртки на его базе:
auth0/symfonyauth0/laravel-auth0auth0/wordpress
…значит, под угрозой ваш сайт, сервис или корпоративное веб-приложение.
Особенно опасно, если ваша система не изолирует куки или не проверяет их как следует. В этом случае возможен удалённый запуск кода (RCE) или компрометация данных.
Что делать?
Переходите на auth0/auth0-php v8.14.0 или новее. В этой версии уязвимость закрыли: SDK теперь проверяет и обрабатывает сериализованные данные из куки безопасным способом.
