CVE-2020-5391, CVE-2020-5392, CVE-2020-6753, CVE-2020-7948, CVE-2020-7947 : mise à jour de sécurité pour WordPress Plugin for Auth0 - Auth0 Docs

Publié : 31 mars 2020 Numéros CVE : CVE-2020-5391, CVE-2020-5392, CVE-2020-6753, CVE-2020-7948, CVE-2020-7947 Crédit : Muhamad Visat

Vue d’ensemble

Auth0 a publié une nouvelle version majeure du WordPress Plugin for Auth0 pour corriger plusieurs vulnérabilités. Nous vous recommandons de consulter les avis de sécurité suivants et de passer à cette nouvelle version majeure :

Absence de protections CSRF pour le champ Domaine dans le plugin Auth0 WP : CVE-2020-5391
Vulnérabilité XSS persistante dans le plugin Auth0 WP (page Paramètres) : CVE-2020-5392
Vulnérabilité XSS persistante dans le plugin Auth0 WP (plusieurs pages) : CVE-2020-6753
Vulnérabilités d’injection CSV dans le plugin Auth0 WP : CVE-2020-7947
Référence directe non sécurisée à un objet dans le plugin Auth0 WP : CVE-2020-7948

Suis-je touché ?

Les clients qui utilisent la version 3.11.3 ou toute version antérieure du WordPress Plugin for Auth0 peuvent être touchés.

Comment corriger ce problème ?

Les clients qui utilisent WordPress Plugin for Auth0 doivent passer à la version 4.0.0 ou ultérieure.

Cette mise à jour aura-t-elle un impact sur mes utilisateurs ?

Les notes de version fournissent des renseignements plus détaillés sur les modifications apportées, et les instructions de migration donnent plus de détails sur le processus de mise à niveau.

CVE-2020-15084 : mise à jour de sécurité pour la bibliothèque express-jwt

CVE-2020-5263: Mise à jour de sécurité pour la bibliothèque auth0.js