CVE-2020-5263: auth0.js ライブラリのセキュリティ更新 - Auth0 Docs

公開日: 2020年4月9日 CVE番号: CVE-2020-5263 謝辞: Bogdan Vitoc (Spatial Systems Inc)

概要

バージョン 8.0.0 から 9.13.1 まで (両端を含む) では、認証エラーが発生した場合、ライブラリが返すエラーオブジェクトにユーザーの元のリクエストが含まれ、そこにユーザーが入力した平文パスワードが含まれる可能性があります。エラーオブジェクトがそのまま公開されたりログに記録されたりすると、アプリケーションでパスワードが漏えいするおそれがあります。

影響を受けるかどうか

次の条件がすべて当てはまる場合、この脆弱性の影響を受けます。

Auth0.js バージョン 8.0.0 から 9.13.1 まで (両端を含む) を使用している。
エラーオブジェクトをフィルタリングせずに保存または表示している。

どうすれば修正できますか？

開発者は、ユーザーが入力したパスワードがエラー内でマスクされる auth0.js バージョン 9.13.2 以降にアップグレードする必要があります。アップグレードできない場合の一時的な対処法としては、エラーオブジェクトを保存しないこと、またはその内容を変更せずに公開しないことが考えられます。

この更新はユーザーに影響しますか？

この修正では Auth0.js にパッチを適用します。エラーオブジェクトで password を利用できなくなったため、アプリケーションコードの変更が必要になる場合がありますが、ユーザー、その時点の state、または既存のセッションには影響しません。

CVE-2020-5391、CVE-2020-5392、CVE-2020-6753、CVE-2020-7948、CVE-2020-7947: WordPress Plugin for Auth0向けセキュリティアップデート

CVE-2019-20174: Auth0 Lockライブラリのセキュリティ更新