CVE-2020-15119 : Mise à jour de sécurité de la bibliothèque Auth0 Lock

Publié : 16 août 2020 Numéro CVE : CVE-2020-15119 Crédits : Muhamad Visat

Vue d’ensemble

Les versions jusqu’à 11.25.1 inclusivement utilisent dangerouslySetInnerHTML pour afficher un message informatif lorsqu’elles sont utilisées avec une connexion ou une connexion d’entreprise.

Pour une connexion Passwordless, la valeur saisie (courriel ou numéro de téléphone) est réaffichée à l’utilisateur pendant qu’il attend de saisir le code de vérification.
Pour une connexion d’entreprise, la valeur saisie (Domaine du ) à l’écran de configuration de la connexion d’entreprise () est réaffichée à l’utilisateur à l’ouverture du widget Lock.

Lorsqu’une connexion Passwordless ou d’entreprise est utilisée, l’application et ses utilisateurs pourraient être exposés à des attaques de script intersite (XSS).

Suis-je concerné(e) ?

Vous êtes concerné(e) par cette vulnérabilité si toutes les conditions suivantes s’appliquent :

Vous utilisez auth0-lock
Vous utilisez le mode Passwordless ou de connexion d’entreprise

Comment corriger ce problème?

Passez à la version 11.26.3.

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Le correctif fourni n’aura aucune incidence sur vos utilisateurs.

​Vue d’ensemble

​Suis-je concerné(e) ?

​Comment corriger ce problème?

​Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Vue d’ensemble

Suis-je concerné(e) ?

Comment corriger ce problème?

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?