CVE-2018-7307 : Vulnérabilité de sécurité dans auth0.js < 9.3

Publié : 26 février 2018 Numéro CVE : CVE-2018-7307 Crédit : Interne

Aperçu

Une vulnérabilité a été identifiée dans la bibliothèque JavaScript auth0.js, et touche les versions < 9.3. Cette vulnérabilité permet à un attaquant de contourner la vérification CSRF du paramètre state s’il est absent de la réponse d’autorisation, ce qui laisse l’application vulnérable aux attaques CSRF. La correction de cette vulnérabilité nécessite une mise à niveau de la bibliothèque.

Suis-je concerné?

Si vous utilisez une version d’auth0.js antérieure à 9.3, cette vulnérabilité vous touche.

Comment corriger cela ?

Les développeurs qui utilisent la bibliothèque auth0.js doivent passer à la version 9.3 ou ultérieure. Les packages mis à jour sont disponibles sur npm. Pour continuer à recevoir d’autres correctifs de bogues à l’avenir, assurez-vous que votre fichier package.json est configuré de façon à accepter les mises à jour de correctif et de version mineure de nos bibliothèques.

{
  "dependencies": {
    "auth0-js": "^9.3.0"
  }
}

Cette mise à jour aura-t-elle un impact sur mes utilisateurs ?

Non. Ce correctif s’applique à la bibliothèque utilisée par votre application, mais n’aura aucun impact sur vos utilisateurs, leur state actuel ni sur les sessions existantes.

​Aperçu

​Suis-je concerné?

​Comment corriger cela ?

​Cette mise à jour aura-t-elle un impact sur mes utilisateurs ?

Aperçu

Suis-je concerné?

Comment corriger cela ?

Cette mise à jour aura-t-elle un impact sur mes utilisateurs ?