CVE-2021-41246: Express OpenID Connect ライブラリのセキュリティ更新 - Auth0 Docs

公開日: 2021年12月08日 CVE番号: CVE-2021-41246

概要

2.3.0 から 2.5.1 までのバージョンでは、ユーザーがログインしてもセッション id とが再生成されません。この動作により、アプリケーションはさまざまなセッション固定化の脆弱性にさらされます。

影響を受けるのはどのような場合ですか？

express-openid-connect バージョン 2.3.0 から 2.5.1 (両端を含む) までを使用しており、カスタムセッションストアを使用している場合は、この脆弱性の影響を受けます。

これを修正するには？

バージョン>= 2.5.2にアップグレードしてください

この更新はユーザーに影響しますか？

このパッチによる修正は、ユーザーに影響しません。

CVE-2021-43812: Next.js Auth0ライブラリのセキュリティアップデート

CVE-2021-32702: Auth0 Next.js ライブラリのセキュリティアップデート