CVE-2020-15125: Actualización de seguridad para la librería node-auth0

Publicado: 28 de julio de 2020 Número CVE: CVE-2020-15125 Crédito: Omar Diab (http://github.com/osdiab)

Resumen

Las versiones 2.27.0 y anteriores usan una lista de bloqueo de claves específicas que deben depurarse del objeto de solicitud contenido en el objeto de error. Cuando falla una solicitud a la de Auth0, la clave del encabezado Authorization no se depura y el valor del encabezado Authorization puede quedar registrado, lo que expone un Bearer Token.

¿Le afecta?

Esta vulnerabilidad le afecta si se cumplen todas las condiciones siguientes:

Está usando el paquete npm auth0.
Está usando una aplicación Machine to Machine autorizada para usar el flujo de credenciales del cliente de la Management API de Auth0.

¿Cómo solucionarlo?

Actualice a la versión 2.27.1.

¿Esta actualización afectará a mis usuarios?

La corrección incluida en el parche no afectará a sus usuarios.

​Resumen

​¿Le afecta?

​¿Cómo solucionarlo?

​¿Esta actualización afectará a mis usuarios?

Resumen

¿Le afecta?

¿Cómo solucionarlo?

¿Esta actualización afectará a mis usuarios?