メインコンテンツへスキップ
公開日: 2020年8月16日 CVE番号: CVE-2020-15119 謝辞: Muhamad Visat

Overview

11.25.1 以前のバージョンでは、 または Enterprise 接続で使用すると、案内メッセージの表示に dangerouslySetInnerHTML が使われます。
  • パスワードレス接続では、確認コードの入力を待っている間、入力した値 (メールアドレスまたは電話番号) がユーザーに表示されます。
  • Enterprise 接続では、Enterprise 接続の設定画面 () で入力した値 ( ドメイン) が、Lock ウィジェットを開いたときにユーザーに表示されます。
パスワードレス接続または Enterprise 接続を使用すると、アプリケーションとそのユーザーがクロスサイトスクリプティング (XSS) 攻撃にさらされる可能性があります。

影響を受けますか?

次の条件をすべて満たす場合、この脆弱性の影響を受けます。
  • auth0-lock を使用している
  • パスワードレスまたはEnterprise 接続のモードを使用している

修正方法

バージョン 11.26.3 にアップグレードしてください。

この更新はユーザーに影響しますか?

このパッチで提供される修正によって、ユーザーへの影響はありません。