Saltar al contenido principal
Publicado: 26 de febrero de 2018 Número de CVE: CVE-2018-7307 Crédito: Interno

Descripción general

Se ha identificado una vulnerabilidad en la biblioteca JavaScript auth0.js, que afecta a las versiones < 9.3. Esta vulnerabilidad permite que un atacante eluda la comprobación de CSRF del parámetro state si este falta en la respuesta de autorización, lo que deja al cliente expuesto a ataques CSRF. Para corregir esta vulnerabilidad, es necesario actualizar la biblioteca.

¿Estoy afectado?

Si usa una versión de auth0.js inferior a 9.3, está afectado por esta vulnerabilidad.

¿Cómo solucionarlo?

Los desarrolladores que usan la biblioteca auth0.js deben actualizar a la versión 9.3 o posterior. Los paquetes actualizados están disponibles en npm. Para asegurarse de recibir correcciones de errores adicionales en el futuro, confirme que su archivo package.json esté actualizado para aceptar las actualizaciones de parche y de versión secundaria de nuestras bibliotecas. 
{
  "dependencies": {
    "auth0-js": "^9.3.0"
  }
}

¿Esta actualización afectará a mis usuarios?

No. Esta corrección aplica un parche a la biblioteca sobre la que se ejecuta tu aplicación, pero no afectará a tus usuarios, su estado actual ni ninguna sesión existente.