Passer au contenu principal
Publié: 10/03/2019 Numéro CVE: CVE-2019-16929 Crédit: Dennis Detering (Spike Reply GmbH)

Aperçu

Les versions de auth0.net et du package NuGet associé Auth0.AuthenticationAPI, de 5.8.0 à 6.5.3 inclusivement, comprennent une classe nommée IdentityTokenValidator avec une méthode publique ValidateAsync qui n’effectue qu’une validation limitée, adaptée uniquement aux jetons émis par Auth0.

Suis-je concerné ?

Vous êtes concerné par cette vulnérabilité si toutes les conditions suivantes s’appliquent :
  • Vous utilisez IdentityTokenValidator pour valider des non fiables
  • Vous utilisez une version d’Auth0.AuthenticationAPI comprise entre 5.8.0 et 6.5.3, inclusivement

Comment corriger ce problème?

Les développeurs ne doivent pas utiliser la classe IdentityTokenValidator pour valider des jetons d’identité non fiables. Consultez Valider les jetons d’identité pour connaître nos recommandations concernant la validation des jetons d’identité. https://jwt.io/ est une bonne ressource sur les bibliothèques open source de validation de et leurs fonctionnalités. Notez qu’une logique supplémentaire peut être nécessaire selon votre cas d’utilisation. Les développeurs qui utilisent auth0.net et le package NuGet associé Auth0.AuthenticationAPI entre les versions 5.8.0 et 6.5.3, inclusivement, doivent passer à la version la plus récente, 6.5.4, afin d’éviter toute utilisation accidentelle de la classe IdentityTokenValidator.

Cette mise à jour aura-t-elle une incidence sur mes utilisateurs ?

Non. Ce correctif touche la bibliothèque logicielle utilisée par votre application, mais n’aura aucune incidence sur vos utilisateurs, leur état actuel ni les sessions existantes.