CVE-2021-32702: Mise à jour de sécurité pour la bibliothèque Auth0 Next.js

Publié : 23 juin 2021 Numéro CVE : CVE-2021-32702

Vue d’ensemble

Les versions antérieures à 1.4.1, ainsi que la version 1.4.1, sont vulnérables à une attaque XSS réfléchie. Un attaquant peut exécuter du code arbitraire en injectant une charge utile XSS dans le paramètre de requête error, qui est ensuite interprété par le gestionnaire de rappel comme un message d’erreur.

Suis-je concerné ?

Vous êtes concerné par cette vulnérabilité si vous utilisez la version @auth0/nextjs-auth0 1.4.1 ou une version antérieure, à moins que vous n’utilisiez un traitement personnalisé des erreurs qui ne renvoie pas le message d’erreur dans une réponse HTML.

Comment résoudre ce problème?

Passez à la version 1.4.2.

Cette mise à jour aura-t-elle une incidence sur vos utilisateurs ?

Le correctif applique un échappement HTML de base au message d’erreur et ne devrait pas avoir d’incidence sur vos utilisateurs.

Crédits

https://github.com/inian

​Vue d’ensemble

​Suis-je concerné ?

​Comment résoudre ce problème?

​Cette mise à jour aura-t-elle une incidence sur vos utilisateurs ?

​Crédits

Vue d’ensemble

Suis-je concerné ?

Comment résoudre ce problème?

Cette mise à jour aura-t-elle une incidence sur vos utilisateurs ?

Crédits