CVE-2018-15121 : faille de sécurité dans auth0-aspnet et auth0-aspnet-owin

Publié : 6 août 2018 Numéro CVE : CVE-2018-15121 Crédit : Kévin Chalet

Aperçu

Toutes les versions des packages auth0-aspnet et auth0-aspnet-owin comportent une faille de sécurité qui expose les applications clientes à une attaque de falsification de requête intersites (CSRF) lors d’opérations d’autorisation et d’authentification. Cette vulnérabilité est causée par l’absence d’utilisation et de validation du paramètre state dans les protocoles et Connect (OIDC), ce qui permet à un attaquant d’injecter son code d’autorisation dans la session de la victime.

Suis-je touché ?

Si vous utilisez n’importe quelle version de auth0-aspnet ou de auth0-aspnet-owin, cette vulnérabilité vous touche.

Comment résoudre ce problème?

Le développement des packages auth0-aspnet et auth0-aspnet-owin a été interrompu. Nous vous recommandons fortement de passer à OWIN 4 et au package officiel Microsoft.Owin.Security.OpenIdConnect, qui n’est pas vulnérable. Si votre application n’utilise pas actuellement OWIN, consultez la documentation OWIN de Microsoft pour l’activer dans votre application.

Cette mise à jour aura-t-elle une incidence sur mes utilisateurs ?

Les états de connexion actuels des utilisateurs et les sessions seront invalidés, car l’authentification sera gérée par différentes bibliothèques.

​Aperçu

​Suis-je touché ?

​Comment résoudre ce problème?

​Cette mise à jour aura-t-elle une incidence sur mes utilisateurs ?

Aperçu

Suis-je touché ?

Comment résoudre ce problème?

Cette mise à jour aura-t-elle une incidence sur mes utilisateurs ?