CVE-2020-15240: omniauth-auth0 の JWT 検証に関するセキュリティアップデート - Auth0 Docs

公開日: 2020年10月21日 CVE番号: CVE-2020-15240

概要

バージョン 2.3.0 以降では、JWTValidator.verify メソッドの使用時に、のトークン署名が不適切に検証されます。既定の Authorization Code Flow を使用しない場合、この JWT のトークン署名が不適切に検証されることで、攻撃者が認証および認可を回避できる可能性があります。

影響を受けますか？

次の条件をすべて満たす場合、この脆弱性の影響を受けます。

omniauth-auth0 を使用している
JWTValidator.verify メソッドを直接使用している、または SDK のデフォルトの Authorization Code Flow で認証していない

修正方法

バージョン 2.4.1 にアップグレードしてください。

この更新はユーザーに影響しますか？

このバージョンで提供される修正は、ユーザーには影響しません。

CVE 2020-15259: ad-ldap-connector のセキュリティアップデート

CVE-2020-15125: node-auth0 ライブラリのセキュリティアップデート