Er is een kritieke beveiligingskwetsbaarheid ontdekt in toepassingen die gebruikmaken van de verifyWebhook() helper van Clerk. Deze kwetsbaarheid kan ertoe leiden dat onjuist ondertekende webhook events worden geaccepteerd. Versie 2.4.0 van @clerk/backend verhelpt dit probleem.
Overzicht
Clerk helpt ontwikkelaars bij het bouwen van gebruikersbeheer. Deze kwetsbaarheid, aangeduid als CVE-2025-53548, heeft betrekking op onvoldoende verificatie van de authenticiteit van gegevens (CWE-345). De integriteitsimpact is hoog, terwijl vertrouwelijkheid en beschikbaarheid niet beïnvloed worden. Het risico is groot vanwege de lage aanvalscomplexiteit en het feit dat er geen privileges vereist zijn voor misbruik.
Aanbevelingen
- Zorg ervoor dat uw toepassing bijgewerkt is naar @clerk/backend versie 2.4.0 of nieuwer om het probleem te verhelpen.
- Controleer de integriteit van uw systeem en zorg ervoor dat webhooks correct worden verwerkt.
Bronnen
- Meer informatie en updates: GitHub Security Advisory
Vraag en Antwoord
Wat is CVE-2025-53548?
Deze CVE betreft een probleem met onvoldoende verificatie van data authenticiteit in de @clerk/backend bibliotheek, specifiek gerelateerd aan de verifyWebhook() helper.
Welke systemen zijn kwetsbaar voor CVE-2025-53548?
Toepassingen die gebruikmaken van de affected versies van Clerk’s @clerk/backend voordat versie 2.4.0 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het probleem is opgelost in @clerk/backend versie 2.4.0.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan incomplete of onjuiste webhook events laten goedkeuren, wat kan leiden tot onvoorziene acties binnen uw toepassing.
