CVE-2021-41246: Actualización de seguridad para la biblioteca de Express OpenID Connect - Auth0 Docs

Publicado: 08 de diciembre de 2021 Número de CVE: CVE-2021-41246

Descripción general

Las versiones 2.3.0 hasta la 2.5.1 inclusive no regeneran el id de sesión ni la cuando el usuario inicia sesión. Este comportamiento deja la aplicación expuesta a diversas vulnerabilidades de fijación de sesión.

¿Estoy afectado?

Se ve afectado por esta vulnerabilidad si usa express-openid-connect desde la versión 2.3.0 hasta la 2.5.1, inclusive, y utiliza un almacén de sesiones personalizado.

¿Cómo corregirlo?

Actualiza a la versión >= 2.5.2

¿Esta actualización afectará a mis usuarios?

La corrección incluida en el parche no afectará a sus usuarios.

CVE-2021-43812: Actualización de seguridad para la biblioteca de Auth0 para Next.js

CVE-2021-32702: Actualización de seguridad para la biblioteca Next.js de Auth0