CVE-2019-16929: Vulnerabilidad de seguridad en auth0.net

Publicado: 10/03/2019 Número de CVE: CVE-2019-16929 Créditos: Dennis Detering (Spike Reply GmbH)

Resumen

Las versiones de auth0.net y del paquete NuGet asociado Auth0.AuthenticationAPI comprendidas entre 5.8.0 y 6.5.3, ambas inclusive, incluyen una clase llamada IdentityTokenValidator con un método público ValidateAsync que realiza una validación limitada, adecuada solo para tokens emitidos por Auth0.

¿Me afecta?

Esta vulnerabilidad le afecta si se cumplen todas las condiciones siguientes:

Está usando IdentityTokenValidator para validar no confiables
Está usando una versión de Auth0.AuthenticationAPI entre 5.8.0 y 6.5.3, inclusive

¿Cómo solucionarlo?

Los desarrolladores no deben usar la clase IdentityTokenValidator para validar tokens de ID no confiables. Consulte Validar tokens de ID para conocer nuestras recomendaciones sobre cómo validar tokens de ID. https://jwt.io/ es un buen recurso sobre bibliotecas de código abierto para validar y sus capacidades. Tenga en cuenta que, según su caso de uso, puede ser necesaria lógica adicional. Los desarrolladores que usen auth0.net y el paquete NuGet asociado Auth0.AuthenticationAPI entre las versiones 5.8.0 y 6.5.3, ambas inclusive, deben actualizar a la versión más reciente, 6.5.4, para evitar el uso accidental de la clase IdentityTokenValidator.

¿Esta actualización afectará a mis usuarios?

No. Esta corrección aplica un parche a la biblioteca cliente que utiliza su aplicación, pero no afectará a sus usuarios, su estado actual ni a las sesiones existentes.

​Resumen

​¿Me afecta?

​¿Cómo solucionarlo?

​¿Esta actualización afectará a mis usuarios?

Resumen

¿Me afecta?

¿Cómo solucionarlo?

¿Esta actualización afectará a mis usuarios?