Saltar al contenido principal
Publicado: 4 de diciembre de 2017 Número de CVE: CVE-2017-17068 Crédito: @AppCheckNG

Descripción general

Se ha identificado una vulnerabilidad en la biblioteca JavaScript auth0.js, que afecta a las versiones < 8.12. Si su sitio o aplicación usa una página de callback emergente con auth0.popup.callback(), un atacante puede aprovechar solicitudes postMessage cross-origin sin restricciones y obtener acceso a los tokens de los usuarios que han iniciado sesión. Un sitio web malicioso podría entonces usar cualquier obtenido para invocar servicios en nombre del usuario. Esta actualización corrige la vulnerabilidad al implementar la verificación del origen, de modo que el mensaje no pueda enviarse a una página que no esté en un dominio especificado. Si no se especifica ningún dominio, solo se permite el dominio en el que está alojada la página de callback. Un atacante recibiría un error de solicitud cross-origin. Corregir esta vulnerabilidad requiere actualizar la biblioteca.

¿Estoy afectado?

Si se cumple alguna de las siguientes condiciones, esta vulnerabilidad le afecta:
  • Usa una versión de auth0.js inferior a 8.12
  • Usa una página emergente de callback con auth0.popup.callback() en su código

¿Cómo solucionar esto?

Los desarrolladores que usan la biblioteca auth0.js deben actualizar a la versión más reciente: 8.12. Los paquetes actualizados están disponibles en npm. Para asegurarse de recibir correcciones de errores adicionales en el futuro, compruebe que su archivo package.json esté actualizado para aceptar actualizaciones de parche y versiones secundarias de nuestras bibliotecas. 
{
  "dependencies": {
    "auth0-js": "^8.12.0"
  }
}

¿Esta actualización afectará a mis usuarios?

No. Esta corrección aplica un parche a la biblioteca que usa su aplicación, pero no afectará a sus usuarios, su estado actual ni ninguna sesión existente.