CVE-2018-15121: auth0-aspnet および auth0-aspnet-owin のセキュリティ脆弱性 - Auth0 Docs

公開日: 2018年8月6日 CVE番号: CVE-2018-15121 謝辞: Kévin Chalet

概要

auth0-aspnet および auth0-aspnet-owin パッケージのすべてのバージョンには、認可および認証の処理中にクライアントアプリケーションがクロスサイト・リクエスト・フォージェリ (CSRF) 攻撃を受ける可能性があるセキュリティ脆弱性があります。この脆弱性の根本原因は、および Connect (OIDC) プロトコルで state パラメーターが使用・検証されていないことにあり、その結果、攻撃者が被害者のセッションに自身の認可コードを注入できてしまいます。

影響を受けていますか？

auth0-aspnet または auth0-aspnet-owin のいずれかのバージョンを使用している場合、この脆弱性の影響を受けます。

どう対処すればよいですか？

auth0-aspnet および auth0-aspnet-owin パッケージは、今後開発が継続されません。脆弱性の影響を受けない OWIN 4 と、公式の Microsoft.Owin.Security.OpenIdConnect パッケージへの移行を強く推奨します。現在アプリケーションで OWIN を使用していない場合は、有効化の方法について Microsoft の OWIN ドキュメントを参照してください。

この更新はユーザーに影響しますか？

認証を処理するライブラリが変わるため、現在のユーザー状態とセッションは無効化されます。

CVE-2019-20173: WordPress Plugin for Auth0（wp-auth0）のセキュリティアップデート

CVE-2018-11537: angular-jwt の許可リストバイパスに関するセキュリティ更新