Passer au contenu principal
Publié : 4 décembre 2017 Numéro CVE : CVE-2017-17068 Crédit : @AppCheckNG

Aperçu

Une vulnérabilité a été identifiée dans la bibliothèque JavaScript auth0.js, qui touche les versions < 8.12. Si votre site ou votre application utilise une page de callback dans une fenêtre contextuelle avec auth0.popup.callback(), un attaquant peut exploiter des requêtes postMessage inter-origines sans restriction et obtenir l’accès aux jetons des utilisateurs connectés. Un site Web malveillant pourrait ensuite utiliser tout obtenu pour invoquer des services au nom de l’utilisateur. Cette mise à jour corrige la vulnérabilité en mettant en place une vérification de l’origine afin que le message ne puisse pas être envoyé à une page qui n’appartient pas à un domaine spécifié. Si aucun domaine n’est spécifié, seul le domaine où la page de callback est hébergée est autorisé. Un attaquant se heurterait alors à une erreur de requête inter-origines. La correction de cette vulnérabilité nécessite une mise à niveau de la bibliothèque.

Suis-je concerné ?

Si l’un des éléments suivants s’applique à votre situation, vous êtes concerné par cette vulnérabilité :
  • Vous utilisez une version d’auth0.js antérieure à 8.12
  • Vous utilisez une page de callback dans une fenêtre contextuelle avec auth0.popup.callback() dans votre code

Comment corriger cela ?

Les développeurs qui utilisent la bibliothèque auth0.js doivent effectuer une mise à niveau vers la version la plus récente : 8.12. Les packages mis à jour sont disponibles sur npm. Pour recevoir d’autres correctifs à l’avenir, assurez-vous que votre fichier package.json est configuré de façon à accepter les mises à jour correctives et mineures de nos bibliothèques. 
{
  "dependencies": {
    "auth0-js": "^8.12.0"
  }
}

Cette mise à jour aura-t-elle une incidence sur mes utilisateurs ?

Non. Ce correctif apporte une correction à la bibliothèque utilisée par votre application, mais n’aura aucune incidence sur vos utilisateurs, leur état ou les sessions existantes.