CVE-2018-15121: Vulnerabilidad de seguridad en auth0-aspnet y auth0-aspnet-owin

Publicado: 6 de agosto de 2018 Número de CVE: CVE-2018-15121 Crédito: Kévin Chalet

Resumen

Todas las versiones de los paquetes auth0-aspnet y auth0-aspnet-owin presentan una vulnerabilidad de seguridad que deja a las aplicaciones cliente expuestas a un ataque de Cross-Site Request Forgery (CSRF) durante las operaciones de autorización y autenticación. La causa principal de esta vulnerabilidad es que no se usa ni se verifica el parámetro state en los protocolos y Connect (OIDC), lo que permite que un atacante inyecte su código de autorización en la sesión de la víctima.

¿Estoy afectado?

Si usas cualquier versión de auth0-aspnet o auth0-aspnet-owin, esta vulnerabilidad te afecta.

¿Cómo solucionarlo?

Se ha discontinuado el desarrollo de los paquetes auth0-aspnet y auth0-aspnet-owin. Recomendamos encarecidamente migrar a OWIN 4 y al paquete oficial Microsoft.Owin.Security.OpenIdConnect, que no es vulnerable. Si tu aplicación no usa OWIN actualmente, consulta la documentación de OWIN de Microsoft para habilitarlo en tu aplicación.

¿Esta actualización afectará a mis usuarios?

Los estados y las sesiones actuales de los usuarios dejarán de ser válidos, ya que distintas bibliotecas se encargarán de la autenticación.

​Resumen

​¿Estoy afectado?

​¿Cómo solucionarlo?

​¿Esta actualización afectará a mis usuarios?

Resumen

¿Estoy afectado?

¿Cómo solucionarlo?

¿Esta actualización afectará a mis usuarios?