Authentification
Gérer les utilisateurs
Personnaliser
Auth0 AI
PlateformeAperçu
Suis-je concerné(e) ?
- Vous utilisez la version 8.0.0 à 9.13.1 inclusivement d’Auth0.js.
- Vous stockez ou affichez des objets d’erreur sans les filtrer.
CVE-2020-5263: Mise à jour de sécurité pour la bibliothèque auth0.js
CVE-2020-5263: Mise à jour de sécurité pour la bibliothèque auth0.js
Date de publication : 09 avril 2020
Numéro CVE : CVE-2020-5263
Crédit : Bogdan Vitoc (Spatial Systems Inc)
Entre les versions 8.0.0 et 9.13.1 incluses, en cas d’erreur d’authentification, l’objet d’erreur renvoyé par la bibliothèque contient la requête d’origine de l’utilisateur, qui peut inclure le mot de passe en texte clair saisi par l’utilisateur.
Si l’objet d’erreur est exposé ou journalisé sans modification, l’application risque d’exposer le mot de passe.
Vous êtes concerné(e) par cette vulnérabilité si toutes les conditions suivantes sont réunies :
Les développeurs devraient mettre à niveau auth0.js vers la version 9.13.2 ou une version ultérieure, dans laquelle les mots de passe saisis par l’utilisateur sont masqués dans les messages d’erreur. S’il n’est pas possible d’effectuer la mise à niveau, une solution temporaire peut consister à ne pas stocker l’objet d’erreur ou à ne pas l’afficher publiquement tel quel.
Ce correctif corrige Auth0.js et peut nécessiter des modifications dans le code de l’application, puisque le mot de passe n’est plus disponible dans l’objet d’erreur, mais il n’aura aucune incidence sur vos utilisateurs, leur état actuel ni les sessions existantes.