CVE-2022-24794: Express OpenID Connect Library のセキュリティアップデート - Auth0 Docs

公開日: 2022年3月30日 CVE番号: CVE-2022-24794

概要

requiresAuth ミドルウェアを直接使用している場合、またはデフォルトの authRequired オプション経由で使用している場合、このミドルウェアをキャッチオールルートに適用すると、オープンリダイレクトの脆弱性が生じます。 example.com 配下のすべてのルートが requiresAuth ミドルウェアで保護されている場合、Express フレームワークが返す元の URL が適切にサニタイズされないため、http://example.com//google.com にアクセスすると、ログイン後に google.com へリダイレクトされます。

影響を受けますか？

キャッチオールルートで requiresAuth ミドルウェアを使用している場合、またはデフォルトの authRequired オプションを使用していて、express-openid-connect のバージョンが <=2.7.1 の場合は、この脆弱性の影響を受けます。

どうすればこの問題を修正できますか？

バージョン >=2.7.2 にアップグレードしてください

この更新はユーザーに影響しますか？

このパッチで提供される修正は、ユーザーに影響を与えません。

CVE-2022-23505: passport-wsfed-saml2 ライブラリのセキュリティ更新

CVE-2021-43812: Next.js Auth0ライブラリのセキュリティアップデート