Autenticar
Administrar usuarios
Personalizar
Auth0 AI
PlataformaDescripción general
- usa Rules para asignar alcances a los usuarios en función de sus direcciones de correo electrónico y
- su aplicación usa múltiples conexiones
Boletín de seguridad de Auth0 sobre la asignación de alcances según la dirección de correo electrónico
Casos en los que un código personalizado incorrecto en una Rule puede crear vulnerabilidades en el flujo de autenticación.
Si:
Auth0 exige que las direcciones de correo electrónico sean únicas por conexión. Sin embargo, no existen limitaciones por aplicación.
Por lo tanto, es posible que el usuario A se registre en la aplicación con una conexión y que el usuario B se registre en la aplicación con la misma dirección de correo electrónico mediante una conexión distinta.
Si sus Rules asignan alcances a los usuarios en función de la dirección de correo electrónico, el segundo usuario habrá recibido los mismos alcances que el primero, a pesar de ser una persona distinta.
La mitigación más sencilla es exigir que los usuarios verifiquen su dirección de correo electrónico después de registrarse y antes de poder iniciar sesión.