CVE-2020-15240 : Mise à jour de sécurité pour la validation des JWT dans omniauth-auth0

Publié : 21 octobre 2020 Numéro CVE : CVE-2020-15240

Vue d’ensemble

Les versions 2.3.0 et ultérieures ne valident pas correctement la signature du jeton lors de l’utilisation de la méthode JWTValidator.verify. Une validation incorrecte de la signature du jeton JWT lorsque le flux de code d’autorisation par défaut n’est pas utilisé peut permettre à un attaquant de contourner l’authentification et l’autorisation.

Suis-je concerné ?

Vous êtes concerné par cette vulnérabilité si toutes les conditions suivantes s’appliquent :

Vous utilisez omniauth-auth0
Vous utilisez directement la méthode JWTValidator.verify OU vous ne vous authentifiez pas au moyen du flux de code d’autorisation par défaut du SDK.

Comment résoudre ce problème ?

Passez à la version 2.4.1.

Cette mise à jour aura-t-elle un impact sur mes utilisateurs ?

Le correctif fourni dans cette version n’aura aucune incidence sur vos utilisateurs.

​Vue d’ensemble

​Suis-je concerné ?

​Comment résoudre ce problème ?

​Cette mise à jour aura-t-elle un impact sur mes utilisateurs ?

Vue d’ensemble

Suis-je concerné ?

Comment résoudre ce problème ?

Cette mise à jour aura-t-elle un impact sur mes utilisateurs ?