Bulletins de sécurité

Voici une liste des bulletins de sécurité d’Auth0 portant sur des vulnérabilités dans les logiciels d’Auth0. Chaque bulletin contient une description de la vulnérabilité, explique comment déterminer si vous êtes touché et indique les mesures à prendre pour la corriger.

Date	Numéro du bulletin	Titre	Logiciels touchés
21 décembre 2022	Bulletin d’Auth0	Bulletin de sécurité Auth0 sur jsonwebtoken	node-jsonwebtoken
12 décembre 2022	CVE-2022-23505	Mise à jour de sécurité de la bibliothèque passport-wsfed-saml2	passpord-wsfed-saml2
30 mars 2022	CVE-2022-24794	Mise à jour de sécurité pour la bibliothèque Express OpenID Connect	express-openid-connect
16 décembre 2021	CVE-2021-43812	Mise à jour de sécurité pour la bibliothèque Auth0 pour Next.js <=1.6.1	nextjs-auth0
8 décembre 2021	CVE-2021-41246	Mise à jour de sécurité d’Express OpenID Connect >= 2.3.0, <= 2.5.1	express-openid-connect
23 juin 2021	CVE-2021-32702	Mise à jour de sécurité pour Auth0 Next.js <= 1.4.1	nextjs-auth0
4 juin 2021	CVE-2021-32641	Mise à jour de sécurité d’Auth0 Lock <= 11.30.0	Auth0 Lock
5 novembre 2020	CVE-2020-15259	Bulletin de sécurité Auth0 concernant les versions d’ad-ldap-connector <= 5.0.12	Connecteur AD/LDAP
21 octobre 2020	CVE-2020-15240	Mise à jour de sécurité pour la validation des JWT d’omniauth-auth0	omniauth-auth0
16 août 2020	CVE-2020-15119	Mise à jour de sécurité pour Auth0 Lock <= 11.25.1	Auth0 Lock
28 juillet 2020	CVE-2020-15125	Bulletin de sécurité d’Auth0 concernant node-auth0 <= 2.27.0	node-auth0
30 juin 2020	CVE-2020-15084	Bulletin de sécurité d’Auth0 pour les versions d’express-jwt < 6.0.0	express-jwt
9 avril 2020	CVE-2020-5263	Bulletin de sécurité d’Auth0 concernant les versions d’auth0.js <= 9.13.1	Auth0.js
31 mars 2020	Bulletin d’Auth0	Bulletin de sécurité d’Auth0 pour les versions < 4.0.0 de WordPress Plugin for Auth0	WordPress Plugin for Auth0
31 janvier 2020	CVE-2019-20173	Bulletin de sécurité Auth0 concernant les versions 3.11.0, 3.11.1 et 3.11.2 de WordPress Plugin for Auth0	WordPress Plugin for Auth0
30 janvier 2020	CVE-2019-20174	Bulletin de sécurité d’Auth0 concernant Auth0 Lock < 11.21.0	Auth0 Lock
4 octobre 2019	CVE-2019-16929	Bulletin de sécurité Auth0 pour auth0.net entre les versions 5.8.0 et 6.5.3 inclusivement	auth0.net
5 septembre 2019	Bulletin Auth0	Bulletin de sécurité Auth0 sur l’attribution de scopes en fonction de l’adresse de courriel	Code personnalisé dans les Rules d’Auth0
23 juillet 2019	CVE-2019-13483	Bulletin de sécurité concernant Passport-SharePoint < 0.4.0	Passport-SharePoint
15 février 2019	CVE-2019-7644	Bulletin de sécurité concernant Auth0-WCF-Service-JWT < 1.0.4	Auth0-WCF-Service-JWT
10 janvier 2019	Bulletin de sécurité Auth0	Bulletin de sécurité Auth0 sur des modèles vulnérables dans le code Custom des Rules	Code Custom dans les Rules Auth0
6 août 2018	CVE-2018-15121	Vulnérabilité de sécurité dans le middleware Auth0 obsolète pour ASP.NET	auth0-aspnet, auth0-aspnet-owin
5 juin 2018	CVE-2018-11537	Mise à jour de sécurité concernant le contournement de la liste d’autorisation dans angular-jwt	angular-jwt
4 avril 2018	CVE-2018-6874	Vulnérabilité de sécurité touchant le service d’authentification Auth0	Service d’authentification Auth0
4 avril 2018	CVE 2018-6873	Vulnérabilité de sécurité touchant le service d’authentification d’Auth0	Service d’authentification d’Auth0
26 février 2018	CVE 2018-7307	Vulnérabilité de sécurité dans auth0.js < 9.3	Auth0.js
22 décembre 2017	CVE 2017-16897	Mise à jour de sécurité de la bibliothèque de stratégie Passport passport-wsfed-saml2	bibliothèque de stratégie Passport passport-wsfed-saml2
4 décembre 2017	CVE 2017-17068	Mise à jour de sécurité corrigeant la vulnérabilité popup callback dans auth0.js	Auth0.js

Conseils de sécurité généraux

CVE-2022-23539, CVE-2022-23541, CVE-2022-23540 : mise à jour de sécurité pour jsonwebtoken