CVE-2021-41246 : mise à jour de sécurité pour la bibliothèque Express OpenID Connect - Auth0 Docs

Publié : 8 décembre 2021 Numéro CVE : CVE-2021-41246

Aperçu

Les versions 2.3.0 à 2.5.1 inclusivement ne régénèrent pas l’ID de session ni le lorsqu’un utilisateur se connecte. Ce comportement expose l’application à diverses vulnérabilités de fixation de session.

Suis-je concerné ?

Vous êtes concerné par cette vulnérabilité si vous utilisez express-openid-connect de la version 2.3.0 à la version 2.5.1 inclusivement et que vous utilisez un magasin de session personnalisé.

Comment résoudre ce problème ?

Passez à la version >= 2.5.2

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Le correctif fourni dans le patch n’aura aucune incidence sur vos utilisateurs.

CVE-2021-43812 : mise à jour de sécurité pour la bibliothèque Auth0 Next.js

CVE-2021-32702: Mise à jour de sécurité pour la bibliothèque Auth0 Next.js