CVE-2020-15125 : Mise à jour de sécurité pour la bibliothèque node-auth0

Date de publication: 28 juillet 2020 Numéro CVE: CVE-2020-15125 Crédit: Omar Diab (http://github.com/osdiab)

Présentation

La version 2.27.0 et versions antérieures utilisent une liste bloquée de clés précises qui doivent être validées depuis l’objet de demande contenu dans l’objet d’erreur. Lorsqu’une demande à Auth0 échoué, la clé de l’en-tête Authorization n’est pas validée et la valeur de l’en-tête Authorization peut être consignée en exposant un jeton du porteur.

Cela me concerne-t-il?

Cette vulnérabilité vous concerne si toutes les conditions suivantes sont réunies :

Vous utilisez le package auth0 npm.
Vous utilisez une application de communication entre machines autorisée à utiliser le flux des identifiants client d’Auth0 Management API.

Comment résoudre ce problème?

Mettez à niveau vers la version 2.27.1.

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Le correctif fourni dans le patch n’affectera pas vos utilisateurs.

Protégez votre Application

Appeler des API au nom de l’utilisateur

Protéger votre tenant

Conformité

CVE-2020-15125 : Mise à jour de sécurité pour la bibliothèque node-auth0

Présentation

Cela me concerne-t-il?

Comment résoudre ce problème?

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Protégez votre Application

Appeler des API au nom de l’utilisateur

Protéger votre tenant

Conformité

Documentation Index

​Présentation

​Cela me concerne-t-il?

​Comment résoudre ce problème?

​Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Présentation

Cela me concerne-t-il?

Comment résoudre ce problème?

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?