CVE-2020-15125: Mise à jour de sécurité pour la bibliothèque node-auth0

Publié le: 28 juillet 2020 Numéro CVE: CVE-2020-15125 Crédit: Omar Diab (http://github.com/osdiab)

Aperçu

Les versions antérieures à la version 2.27.0, ainsi que la version 2.27.0 elle-même, utilisent une liste d’exclusion de clés précises à masquer dans l’objet de requête contenu dans l’objet d’erreur. Lorsqu’une requête vers l’API Auth0 échoue, la clé de l’en-tête Authorization n’est pas masquée et la valeur de l’en-tête Authorization peut être consignée dans les journaux, exposant ainsi un Bearer Token.

Suis-je touché(e) ?

Vous êtes touché(e) par cette vulnérabilité si toutes les conditions suivantes sont remplies :

Vous utilisez le package npm auth0.
Vous utilisez une Machine to Machine Application autorisée à utiliser la Management API d’Auth0 au moyen du flux d’identification du client.

Comment corriger cela ?

Passez à la version 2.27.1.

Cette mise à jour aura-t-elle une incidence sur vos utilisateurs ?

Le correctif apporté par ce patch n’aura pas d’incidence sur vos utilisateurs.

​Aperçu

​Suis-je touché(e) ?

​Comment corriger cela ?

​Cette mise à jour aura-t-elle une incidence sur vos utilisateurs ?

Aperçu

Suis-je touché(e) ?

Comment corriger cela ?

Cette mise à jour aura-t-elle une incidence sur vos utilisateurs ?