CVE-2019-20173: Mise à jour de sécurité pour WordPress Plugin for Auth0 wp-auth0 - Auth0 Docs

Publié : 31 janvier 2020 Numéro CVE : CVE-2019-20173 Crédit : Muhamad Visat

Aperçu

Les versions 3.11.0, 3.11.1 et 3.11.2 de WordPress Plugin for Auth0 n’assainissent pas correctement le paramètre de requête wle. Cela pourrait permettre à un attaquant d’exécuter une attaque de script intersite (XSS) sur la page de connexion.

Suis-je concerné(e) ?

Vous êtes concerné(e) par cette vulnérabilité si toutes les conditions suivantes sont réunies :

Vous utilisez les versions 3.11.0, 3.11.1 ou 3.11.2 de WordPress Plugin for Auth0
Le paramètre « Original Login Form on wp-login.php » dans les paramètres de base est défini sur l’une des deux options suivantes :
- « Via a link under the Auth0 form » (option par défaut)
- « When “wle” query parameter is present »

Comment corriger ce problème?

Les développeurs qui utilisent WordPress Plugin for Auth0 doivent passer à la version 3.11.3 ou à une version ultérieure.

Cette mise à jour aura-t-elle une incidence sur mes utilisateurs ?

Non. Ce correctif corrige la bibliothèque utilisée par votre application, mais n’aura aucune incidence sur vos utilisateurs, leur état actuel ou les sessions existantes.

CVE-2019-7644 : faille de sécurité dans Auth0-WCF-Service-JWT

CVE-2018-15121 : faille de sécurité dans auth0-aspnet et auth0-aspnet-owin