Cookie-взлом: критическая уязвимость в Auth0 PHP SDK позволяет выполнить код без авторизации

Если ваш сайт или веб-приложение использует Auth0 PHP SDK для авторизации через социальные сети или корпоративные аккаунты — вам срочно стоит обновить библиотеку. Исследователи выявили критическую уязвимость (CVE-2025-48951), позволяющую атакующему удаленно выполнить произвольный код на сервере. Все, что нужно злоумышленнику — отправить специально сформированный cookie.

Проблема кроется в небезопасной десериализации данных, происходящей до авторизации пользователя. То есть уязвимость может быть использована даже без входа в систему. По шкале CVSS уязвимость получила оценку 9.3 — это критический уровень.

Под угрозой все, кто использует следующие пакеты:

• auth0/auth0-php версии от 8.0.0-BETA3 до 8.3.0;
• обертки, основанные на этом SDK: auth0/symfony, auth0/laravel-auth0, auth0/wordpress и др.

Если cookies не изолированы или недостаточно проверяются, возможен удаленный запуск кода (RCE) и компрометация всей системы.

Нужно немедленно обновить библиотеку до версии auth0/auth0-php v8.14.0 или выше. В ней механизм обработки сериализованных данных полностью переработан.