CVE-2020-15119: Actualización de seguridad para la biblioteca Lock de Auth0

Publicado: 16 de agosto de 2020 Número de CVE: CVE-2020-15119 Crédito: Muhamad Visat

Descripción general

Las versiones anteriores e incluida la 11.25.1 usan dangerouslySetInnerHTML para mostrar un mensaje informativo cuando se utilizan con una conexión o una conexión empresarial.

En una conexión sin contraseña, el valor introducido (correo electrónico o número de teléfono) se vuelve a mostrar al usuario mientras espera introducir el código de verificación.
En una conexión empresarial, el valor introducido (dominio del ) de la pantalla de configuración de la conexión empresarial () se vuelve a mostrar al usuario cuando se abre el widget Lock.

Cuando se usa una conexión sin contraseña o una conexión empresarial, la aplicación y sus usuarios podrían quedar expuestos a ataques de cross-site scripting (XSS).

¿Me afecta?

Esta vulnerabilidad le afecta si se cumplen todas las condiciones siguientes:

Está usando auth0-lock
Está usando el modo sin contraseña o el modo de conexión empresarial

¿Cómo solucionarlo?

Actualiza a la versión 11.26.3.

¿Afectará esta actualización a mis usuarios?

La corrección incluida en el parche no afectará a sus usuarios.

​Descripción general

​¿Me afecta?

​¿Cómo solucionarlo?

​¿Afectará esta actualización a mis usuarios?

Descripción general

¿Me afecta?

¿Cómo solucionarlo?

¿Afectará esta actualización a mis usuarios?