CVE-2022-24794 : mise à jour de sécurité pour la bibliothèque Express OpenID Connect

Date de publication: 30 mars 2022 Numéro CVE: CVE-2022-24794

Vue d’ensemble

Les utilisateurs du middleware requiresAuth, que ce soit directement ou au moyen de l’option par défaut authRequired, sont vulnérables à une redirection ouverte lorsque ce middleware est appliqué à une route fourre-tout. Si toutes les routes sous example.com sont protégées par le middleware requiresAuth, une requête vers http://example.com//google.com sera redirigée vers google.com après l’authentification, parce que l’URL d’origine renvoyée par le framework Express n’est pas correctement nettoyée.

Suis-je concerné(e) ?

Vous êtes concerné(e) par cette vulnérabilité si vous utilisez le middleware requiresAuth sur une route fourre-tout, ou l’option authRequired par défaut, avec la version <=2.7.1 de express-openid-connect.

Comment corriger ce problème?

Passez à la version >=2.7.2

Cette mise à jour aura-t-elle une incidence sur vos utilisateurs?

Le correctif inclus dans le patch n’aura aucune incidence sur vos utilisateurs.

​Vue d’ensemble

​Suis-je concerné(e) ?

​Comment corriger ce problème?

​Cette mise à jour aura-t-elle une incidence sur vos utilisateurs?

Vue d’ensemble

Suis-je concerné(e) ?

Comment corriger ce problème?

Cette mise à jour aura-t-elle une incidence sur vos utilisateurs?