Passer au contenu principal
Publié: 5 juin 2018 Numéro CVE: CVE-2018-11537 Crédit: Stephan Hauser

Aperçu

La fonctionnalité de liste d’autorisation de domaines peut être contournée. Par exemple, si le paramètre est initialisé comme suit : jwtInterceptorProvider.whiteListedDomains = ['whitelisted.Example.com']; Un attaquant peut configurer un domaine whitelistedXexample.com qui passera le filtre de la liste d’autorisation. La cause profonde est que angular-jwt traite toujours les entrées whiteListedDomains comme des expressions régulières, ce qui fait en sorte que le séparateur . corresponde à n’importe quel caractère.

Suis-je touché(e) ?

Si les éléments suivants s’appliquent à votre cas, vous êtes touché(e) par cette vulnérabilité :
  • Vous utilisez une version de angular- inférieure à 0.1.10
  • Vous utilisez une liste de domaines autorisés dans votre code

Comment corriger cela?

Les développeurs qui utilisent la bibliothèque angular-jwt doivent passer à la version la plus récente : 0.1.10. Le package mis à jour est disponible sur NPM : npm install angular-jwt@0.1.10 Pour vous aider à suivre plus facilement les mises à jour de sécurité à l’avenir, assurez-vous que votre fichier package.json est configuré pour accepter les mises à jour correctives et mineures de nos bibliothèques : 
{
  "dependencies": {
    "angular-jwt": "^0.1.10"
  }
}

Cette mise à jour aura-t-elle une incidence sur mes utilisateurs ?

Non. Ce correctif apporte une modification à la bibliothèque utilisée par votre application, mais n’aura aucune incidence sur vos utilisateurs, leur état actuel ou les sessions existantes.