CVE-2022-24794: Actualización de seguridad de la biblioteca Express OpenID Connect

Publicado: 30 de marzo de 2022 Número de CVE: CVE-2022-24794

Resumen

Los usuarios del middleware requiresAuth, ya sea directamente o a través de la opción predeterminada authRequired, son vulnerables a una redirección abierta cuando el middleware se aplica a una ruta comodín. Si todas las rutas de example.com están protegidas con el middleware requiresAuth, una visita a http://example.com//google.com redirigirá a google.com después de iniciar sesión, ya que la URL original que informa el framework Express no se sanitiza correctamente.

¿Me afecta?

Esta vulnerabilidad te afecta si estás usando el middleware requiresAuth en una ruta comodín o la opción predeterminada authRequired, y la versión <=2.7.1 de express-openid-connect.

¿Cómo solucionarlo?

Actualiza a la versión >=2.7.2

¿Esta actualización afectará a mis usuarios?

La corrección incluida en el parche no afectará a sus usuarios.

​Resumen

​¿Me afecta?

​¿Cómo solucionarlo?

​¿Esta actualización afectará a mis usuarios?

Resumen

¿Me afecta?

¿Cómo solucionarlo?

¿Esta actualización afectará a mis usuarios?