CVE-2020-5391、CVE-2020-5392、CVE-2020-6753、CVE-2020-7948、CVE-2020-7947: WordPress Plugin for Auth0向けセキュリティアップデート - Auth0 Docs

公開日: 2020年3月31日 CVE番号: CVE-2020-5391, CVE-2020-5392, CVE-2020-6753, CVE-2020-7948, CVE-2020-7947 謝辞: Muhamad Visat

概要

Auth0 は、複数の脆弱性に対処するため、WordPress Plugin for Auth0 の新しいメジャーバージョンをリリースしました。以下のセキュリティアドバイザリを確認し、新しいメジャーバージョンにアップグレードすることを推奨します。

Auth0 WP プラグインのドメインフィールドにおける CSRF 対策の欠如: CVE-2020-5391
Auth0 WP プラグインの格納型 XSS (設定ページ) : CVE-2020-5392
Auth0 WP プラグインの格納型 XSS (複数のページ) : CVE-2020-6753
Auth0 WP プラグインにおける CSV インジェクションの脆弱性: CVE-2020-7947
Auth0 WP プラグインにおける安全でない直接オブジェクト参照: CVE-2020-7948

影響を受けますか？

WordPress Plugin for Auth0 の 3.11.3 以前のバージョンを使用しているお客様は、影響を受ける可能性があります。

この問題を解決するには？

WordPress Plugin for Auth0 をご利用のお客様は、バージョン 4.0.0 以降にアップグレードする必要があります。

この更新はユーザーに影響しますか？

リリースノートでは変更内容の詳細を確認でき、移行手順ではアップグレードパスの詳細を確認できます。

CVE-2020-15084: express-jwt ライブラリのセキュリティアップデート

CVE-2020-5263: auth0.js ライブラリのセキュリティ更新