CVE-2018-7307: auth0.js < 9.3 に関するセキュリティ脆弱性

公開日: 2018年2月26日 CVE番号: CVE-2018-7307 謝辞: 社内

概要

auth0.js JavaScript library に脆弱性が確認されており、9.3 未満のバージョンが影響を受けます。この脆弱性により、認可レスポンスに state parameter が含まれていない場合、攻撃者が state の CSRF チェックを回避できるため、クライアントは CSRF 攻撃に対して脆弱になります。この脆弱性を修正するには、ライブラリをアップグレードする必要があります。

影響を受けますか？

9.3 未満のバージョンの auth0.js を使用している場合、この脆弱性の影響を受けます。

修正するには？

auth0.js ライブラリを使用している開発者は、バージョン 9.3 以降にアップグレードする必要があります。更新版のパッケージは npm で入手できます。今後の追加のバグ修正を確実に受け取れるよう、package.json ファイルを更新し、当社ライブラリのパッチおよびマイナーバージョンの更新を取り込めるようにしてください。

{
  "dependencies": {
    "auth0-js": "^9.3.0"
  }
}

この更新はユーザーに影響しますか？

いいえ。この修正はアプリケーションで実行されているライブラリにパッチを適用するものですが、ユーザーやその現在のstate、既存のセッションには影響しません。

​概要

​影響を受けますか？

​修正するには？

​この更新はユーザーに影響しますか？

概要

影響を受けますか？

修正するには？

この更新はユーザーに影響しますか？