CVE-2020-5391, CVE-2020-5392, CVE-2020-6753, CVE-2020-7948, CVE-2020-7947: Mise à jour de la sécurité pour le plugiciel WordPress pour Auth0

Présentation
Cela me concerne-t-il?
Comment résoudre ce problème?
Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Date de publication : 31 mars 2020 Numéro CVE : CVE-2020-5391, CVE-2020-5392, CVE-2020-6753, CVE-2020-7948, CVE-2020-7947 Crédit : Muhamad Visat

Présentation

Auth0 a publié une nouvelle version majeure du plugiciel WordPress pour Auth0 pour répondre à plusieurs vulnérabilités. Nous vous recommandons de consulter les avis de sécurité suivants et de mettre à niveau vers la nouvelle version majeure :

Contrôles CSRF manquants pour le champ de domaine dans le plugiciel Auth0 WP :CVE-2020-5391
XSS stocké dans le plugiciel Auth0 WP (page Paramètres) CVE-2020-5392
XSS stocké dans le plugiciel Auth0 WP (plusieurs pages) : CVE-2020-6753
Vulnérabilités d’injection CSV dans le plugiciel Auth0 WP : CVE-2020-7947
Référence d’objet directe non sécurisée dans le plugiciel Auth0 WP : CVE-2020-7948

Cela me concerne-t-il?

Les clients utilisant n’importe quelle version du plugiciel WordPress pour Auth0 3.11.3 ou antérieure peuvent être affectés.

Comment résoudre ce problème?

Les clients utilisant Plugin WordPress pour Auth0 ont besoin de mettre à niveau vers la version 4.0.0 ou supérieure.

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Les notes de version fournissent des informations plus détaillées sur les modifications qui ont été apportées et les instructions de migration fournissent des informations plus détaillées sur le chemin de mise à niveau.

CVE-2020-15084 : Mise à jour de sécurité pour la bibliothèque express-jwt

CVE-2020-5263 : Mise à jour de sécurité pour la bibliothèque auth0.js