Python Social Auth模块中的CVE-2025-61783

Python Social Auth 是一个用于处理社交登录的库，该机制支持多种社交平台，包括但不限于 Google、Facebook、Twitter、GitHub 等等。

一、基本情况

Python Social Auth 是一个简化社交认证流程的 Python 库，使得开发者能够轻松地集成社交登录功能，以减少了用户注册流程的复杂性。

Python Social Auth 多种框架和认证服务，支持 OAuth、JWT 等协议，可对接 GitHub、Google 等第三方认证服务，提供统一的认证接口。

social-app-django（全称social-auth-app-django）是专门用于Django框架的OAuth2协议第三方登录模块，支持微博、微信、QQ登录认证。

栋科技漏洞库关注到 Python Social Auth 模块 social-app-django 受影响版中存在漏洞，漏洞追踪为CVE-2025-61783，CVSS 4.0评分6.3。

二、漏洞分析

CVE-2025-6178漏洞是 Python Social Auth 中的 social-app-django 模块中存在的安全漏洞，漏洞具体存在于在5.6.0版本之前受影响版中。

开始进行认证的时候，即使未包含`associate_by_email`管道，用户也可能会通过电子邮件关联，这可能导致账户被第三方认证服务滥用。

尤其是当提供的电子邮件地址未经验证或不需要唯一电子邮件地址时，

版本5.6.0包含了一个补丁。作为解决方案，请重新检查关于电子邮件地址的认证服务策略；许多服务不会允许利用此漏洞。

经过身份验证后，即使未包含associate_by.email管道，也可以通过电子邮件将用户关联起来。

当第三方身份验证服务不验证提供的电子邮件地址或不需要唯一的电子邮件地址时，这可能会导致帐户受损。

三、影响范围

social-app-django < 5.6.0

四、修复建议

social-app-django >= 5.6.0

五、参考链接

管理员已设置登录后刷新可查看