Autenticar
Administrar usuarios
Personalizar
Auth0 AI
PlataformaResumen
¿Me afecta?
- Está utilizando Auth0.js en una versión entre la 8.0.0 y la 9.13.1 (ambas incluidas).
- Almacena o muestra objetos de error sin filtrarlos.
CVE-2020-5263: Actualización de seguridad de la biblioteca auth0.js
CVE-2020-5263: Actualización de seguridad de la biblioteca auth0.js
Publicado: 09 de abril de 2020
Número de CVE: CVE-2020-5263
Crédito: Bogdan Vitoc (Spatial Systems Inc)
Entre las versiones 8.0.0 y 9.13.1 (inclusive), en caso de error de autenticación, el objeto de error que devuelve la biblioteca contiene la solicitud original del usuario, que puede incluir la contraseña en texto plano que este introdujo.
Si el objeto de error se expone o se registra sin modificaciones, la aplicación corre el riesgo de exponer contraseñas.
Esta vulnerabilidad le afecta si se cumplen todas las condiciones siguientes:
Los desarrolladores deben actualizar auth0.js a la versión 9.13.2 o posterior, en la que las contraseñas introducidas por el usuario se ocultan en los errores. Si no es posible actualizar, una solución temporal puede consistir en no almacenar el objeto de error ni mostrarlo públicamente sin modificarlo.
Esta corrección aplica un parche a Auth0.js y puede requerir cambios en el código de la aplicación, ya que la contraseña ya no está disponible en el objeto de error, pero no afectará a sus usuarios, a su estado actual ni a ninguna sesión existente.