CVE-2019-13483: Passport-SharePointにおけるセキュリティ脆弱性 - Auth0 Docs

公開日: 7/23/2019 CVE番号: CVE-2019-13483

概要

0.4.0 より前の Passport-SharePoint のバージョンでは、形式のを処理する前に、その署名を検証しません。この脆弱性により、攻撃者はトークンを偽造し、認証および認可の仕組みを回避できる可能性があります。

影響を受けますか？

Passport-SharePoint のバージョン 0.4.0 より前を使用している場合、この脆弱性の影響を受けます。

これを修正するにはどうすればよいですか？

Passport-SharePoint ライブラリを使用している開発者は、バージョン 0.4.0 にアップグレードする必要があります。なお、Auth0 はこのライブラリを非推奨としており、今後メンテナンスは行いません。開発者は、このライブラリの使用を中止するよう移行を計画してください。

この更新はユーザーに影響しますか？

いいえ。この修正ではアプリケーションで使用しているライブラリにパッチを適用しますが、ユーザー、その時点のstate、既存のセッションのいずれにも影響はありません。

CVE-2019-16929: auth0.net におけるセキュリティ脆弱性

CVE-2019-7644: Auth0-WCF-Service-JWT のセキュリティ脆弱性