CVE-2019-20173: Actualización de seguridad para WordPress Plugin for Auth0 wp-auth0 - Auth0 Docs

Publicado: 31 de enero de 2020 Número de CVE: CVE-2019-20173 Crédito: Muhamad Visat

Descripción general

Las versiones 3.11.0, 3.11.1 y 3.11.2 de WordPress Plugin for Auth0 no sanitizan correctamente el parámetro de consulta wle. Esto podría permitir que un atacante ejecute un ataque de scripting entre sitios (XSS) en la página de Login.

¿Me afecta?

Esta vulnerabilidad le afecta si se cumplen todas las siguientes condiciones:

Está usando las versiones 3.11.0, 3.11.1 o 3.11.2 de WordPress Plugin for Auth0
La configuración “Original Login Form on wp-login.php”, en Basic settings, está establecida en una de estas dos opciones:
- “Via a link under the Auth0 form” (opción predeterminada)
- “When “wle” query parameter is present”

¿Cómo se soluciona?

Los desarrolladores que usan WordPress Plugin for Auth0 deben actualizar a la versión 3.11.3 o posterior.

¿Esta actualización afectará a mis usuarios?

No. Esta corrección aplica un parche a la biblioteca que utiliza su aplicación, pero no afectará a sus usuarios, a su estado actual ni a ninguna sesión existente.

CVE-2019-7644: Vulnerabilidad de seguridad en Auth0-WCF-Service-JWT

CVE-2018-15121: Vulnerabilidad de seguridad en auth0-aspnet y auth0-aspnet-owin