認証
ユーザー管理
カスタマイズ
Auth0 AI
プラットフォーム概要
Authorization ヘッダーのキーはサニタイズされないため、その値がログに記録され、ベアラートークンが露出するおそれがあります。
影響を受けますか?
- auth0 npm パッケージを使用している。
- Auth0 の Management API の Client Credentials Flow の使用が許可された Machine to Machine アプリケーションを使用している。
CVE-2020-15125: node-auth0 ライブラリのセキュリティアップデート
CVE-2020-15125: node-auth0 ライブラリのセキュリティアップデート
公開日: 2020年7月28日
CVE番号: CVE-2020-15125
謝辞: Omar Diab (http://github.com/osdiab)
2.27.0 以前のバージョンでは、エラーオブジェクトに含まれるリクエストオブジェクトからサニタイズ対象とすべき特定のキーを定義したブロックリストを使用しています。Auth0 の へのリクエストが失敗すると、
次の条件がすべて当てはまる場合、この脆弱性の影響を受けます。
バージョン 2.27.1 にアップグレードしてください。
このパッチで提供される修正は、ユーザーに影響しません。