メインコンテンツへスキップ
公開日: 2021年6月23日 CVE番号: CVE-2021-32702

概要

1.4.1以前 (1.4.1を含む) のバージョンには、反射型XSSの脆弱性があります。攻撃者は、errorクエリパラメーターにXSSペイロードを含めることで、コールバックハンドラーがそれをエラーメッセージとして処理する際に任意のコードを実行できます。

影響を受けるかどうか

HTML レスポンスでエラーメッセージを返さないカスタムのエラー処理を使用している場合を除き@auth0/nextjs-auth0 バージョン 1.4.1 以下を使用している場合は、この脆弱性の影響を受けます。

修正するには?

バージョン1.4.2にアップグレードしてください。

この更新はユーザーに影響しますか?

この修正では、エラーメッセージに対して基本的な HTML エスケープ処理が追加されるため、ユーザーに影響はありません。

謝辞

https://github.com/inian