CVE-2020-15240: Actualización de seguridad para la validación de JWT en omniauth-auth0 - Auth0 Docs

Publicado: 21 de octubre de 2020 Número de CVE: CVE-2020-15240

Descripción general

Las versiones a partir de la 2.3.0 validan incorrectamente la firma del token al usar el método JWTValidator.verify. La validación incorrecta de la firma del token JWT cuando no se usa el Authorization Code Flow predeterminado puede permitir que un atacante omita la autenticación y la autorización.

¿Estoy afectado?

Esta vulnerabilidad le afecta si se cumplen todas las condiciones siguientes:

Está usando omniauth-auth0
Está usando directamente el método JWTValidator.verify O no se está autenticando mediante el Authorization Code Flow predeterminado del SDK.

¿Cómo solucionarlo?

Actualiza a la versión 2.4.1.

¿Esta actualización afectará a mis usuarios?

La corrección incluida en esta versión no afectará a sus usuarios.

CVE 2020-15259: Actualización de seguridad para ad-ldap-connector

CVE-2020-15125: Actualización de seguridad para la librería node-auth0