CVE-2019-7644: Vulnerabilidad de seguridad en Auth0-WCF-Service-JWT

Publicado: 15 de febrero de 2019 Número de CVE: CVE-2019-7644 Crédito: Conny Dahlgren, investigador de seguridad de DevilSec AB

Descripción general

Todas las versiones del paquete NuGet Auth0-WCF-Service-JWT anteriores a la 1.0.4 incluyen información confidencial sobre la firma esperada en un mensaje de error emitido cuando falla la validación de la firma del JWT:

Invalid signature. Expected 8Qh5lJ5gSaQylkSdaCIDBoOqKzhoJ0Nutkkap8RgB1Y= got 8Qh5lJ5gSaQylkSdaCIDBoOqKzhoJ0Nutkkap8RgBOo=

Esta vulnerabilidad permite a los atacantes usar este mensaje de error para obtener una firma válida para tokens JWT arbitrarios. De este modo, pueden falsificar tokens para eludir los mecanismos de autenticación y autorización.

¿Me afecta?

Esta vulnerabilidad le afecta si se cumplen las siguientes condiciones:

Usa una versión del paquete NuGet Auth0-WCF-Service-JWT inferior a la 1.0.4
Muestra el mensaje de excepción de verificación de firma en la interfaz de usuario o lo pone de algún otro modo a disposición del atacante (por ejemplo, a través de logs o mensajes de diagnóstico)

¿Cómo corregirlo?

Los desarrolladores que usan la biblioteca Auth0-WCF-Service-JWT deben actualizarla a la versión más reciente, la 1.0.4. El paquete actualizado está disponible en NuGet: Install-Package Auth0-WCF-Service-JWT -Version 1.0.4

¿Esta actualización afectará a mis usuarios?

No. Esta corrección aplica un parche a la biblioteca que utiliza su aplicación, pero no afectará a sus usuarios, su estado actual ni ninguna sesión existente.

​Descripción general

​¿Me afecta?

​¿Cómo corregirlo?

​¿Esta actualización afectará a mis usuarios?

Descripción general

¿Me afecta?

¿Cómo corregirlo?

¿Esta actualización afectará a mis usuarios?