CVE-2021-32702: Actualización de seguridad para la biblioteca Next.js de Auth0

Publicado: 23 de junio de 2021 Número de CVE: CVE-2021-32702

Descripción general

Las versiones anteriores a la 1.4.1 e incluida esta son vulnerables a XSS reflejado. Un atacante puede ejecutar código arbitrario proporcionando una carga útil de XSS en el parámetro de consulta error, que el controlador de callback procesa después como un mensaje de error.

¿Me afecta?

Esta vulnerabilidad le afecta si usa la versión 1.4.1 o anterior de @auth0/nextjs-auth0, a menos que use una gestión de errores personalizada que no devuelva el mensaje de error en una respuesta HTML.

¿Cómo solucionarlo?

Actualiza a la versión 1.4.2.

¿Esta actualización afectará a mis usuarios?

La corrección añade un escape básico de HTML al mensaje de error y no debería afectar a sus usuarios.

Créditos

https://github.com/inian

​Descripción general

​¿Me afecta?

​¿Cómo solucionarlo?

​¿Esta actualización afectará a mis usuarios?

​Créditos

Descripción general

¿Me afecta?

¿Cómo solucionarlo?

¿Esta actualización afectará a mis usuarios?

Créditos