CVE-2019-20173: WordPress Plugin for Auth0（wp-auth0）のセキュリティアップデート - Auth0 Docs

公開日: 2020年1月31日 CVE番号: CVE-2019-20173 謝辞: Muhamad Visat

概要

WordPress Plugin for Auth0 バージョン 3.11.0、3.11.1、3.11.2 では、wle クエリパラメーターが適切にサニタイズされません。そのため、攻撃者がログインページでクロスサイトスクリプティング (XSS) 攻撃を実行できる可能性があります。

影響を受けますか？

次のすべてに該当する場合、この脆弱性の影響を受けます。

WordPress Plugin for Auth0 のバージョン 3.11.0、3.11.1、または 3.11.2 を使用している
Basic settings の「wp-login.php の元の Login フォーム」設定が、次の 2 つのオプションのいずれかに設定されている:
- 「Auth0 フォームの下のリンクから」 (既定のオプション)
- 「“wle” クエリパラメーターが存在する場合」

これを修正するにはどうすればよいですか？

WordPress Plugin for Auth0 を使用している開発者は、バージョン 3.11.3 以降にアップグレードする必要があります。

この更新はユーザーに影響しますか？

いいえ。この修正はアプリケーションで使用されているライブラリに対するパッチであり、ユーザー、その時点の状態、既存のセッションには影響しません。

CVE-2019-7644: Auth0-WCF-Service-JWT のセキュリティ脆弱性

CVE-2018-15121: auth0-aspnet および auth0-aspnet-owin のセキュリティ脆弱性