メインコンテンツへスキップ
公開日: 2018年6月5日 CVE番号: CVE-2018-11537 謝辞: Stephan Hauser

概要

ドメインの許可リスト登録機能はバイパスされる可能性があります。たとえば、設定が次のように初期化されている場合です。 jwtInterceptorProvider.whiteListedDomains = ['whitelisted.Example.com']; 攻撃者は whitelistedXexample.com というドメインを用意することで、許可リストのフィルターを通過できます。根本原因は、angular-jwtwhiteListedDomains の各エントリーを常に正規表現として扱うため、. の区切り文字が任意の文字に一致してしまうことです。

影響を受けますか?

次のいずれかに該当する場合、この脆弱性の影響を受けます。
  • angular- のバージョンが 0.1.10 未満である
  • コードでドメインの許可リストを使用している

この問題を修正するには?

angular-jwt ライブラリを使用している開発者は、最新バージョン 0.1.10 にアップグレードする必要があります。 更新済みパッケージは NPM から利用できます: npm install angular-jwt@0.1.10 今後セキュリティ更新を適用しやすくするため、package.json ファイルを更新して、弊社ライブラリのパッチおよびマイナーバージョンの更新を取り込めるようにしてください: 
{
  "dependencies": {
    "angular-jwt": "^0.1.10"
  }
}

この更新はユーザーに影響しますか?

いいえ。この修正はアプリケーションで実行されているライブラリに対するパッチですが、ユーザーやその現在のstate、既存のセッションには影響しません。