CVE-2019-20173 : Mise à jour de sécurité du plugiciel WordPress pour Auth0 wp-auth0

Présentation
Cela me concerne-t-il?
Comment résoudre ce problème?
Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Date de publication : 31 janvier 2020 Numéro CVE : CVE-2019-20173 Crédit: Muhamad Visat

Présentation

Le plugiciel WordPress pour Auth0 versions 3.11.0, 3.11.1 et 3.11.2 ne traite pas correctement le paramètre de requête wle. Cela pourrait permettre à une personne malveillante de lancer une attaque XSS (scripting inter-site) contre la page de connexion.

Cela me concerne-t-il?

Cette vulnérabilité vous touche si toutes les conditions suivantes sont réunies :

Vous utilisez le plugiciel WordPress pour Auth0 versions 3.11.0, 3.11.1 ou 3.11.2
Le paramètre « Formulaire de connexion d’origine sur wp-login.php » dans les paramètres de base est défini sur l’une des deux options suivantes :
- « Via a link under the Auth0 form (Via un lien dans le formulaire Auth0) » (option par défaut)
- « When “wle” query parameter is present (Lorsque le paramètre de requête wle est présent) »

Comment résoudre ce problème?

Les développeurs qui utilisent le plugiciel WordPress pour Auth0 doivent effectuer une mise à niveau vers la version 3.11.3 ou supérieure.

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Non. Ce correctif corrige la bibliothèque que votre application exécute, mais n’aura pas d’impact sur vos utilisateurs, leur état actuel ou les sessions existantes.

CVE-2019-7644 : Vulnérabilité de sécurité dans Auth0-WCF-Service-JWT

CVE-2018-15121 : Vulnérabilité de sécurité dans auth0-aspnet et auth0-aspnet-owin