Passer au contenu principal
Date de publication : 5 juin 2018 Numéro CVE : CVE-2018-11537 Crédit : Stephan Hauser

Présentation

La fonctionnalité liste d’autorisation de domaine peut être contournée. jwtInterceptorProvider.whiteListedDomains = [‘whitelisted.Example.com’]; Un attaquant peut configurer un domaine whitelistedXexample.com qui passera le filtre de la liste d’autorisation. La cause principale de ceci est que angular-jwt traite toujours les entrées whiteListedDomains comme des expressions régulières et causes . séparateur pour correspondre à n’importe quel caractère.

Suis-je affecté?

Si les conditions suivantes s’appliquent, vous êtes affecté par cette vulnérabilité :
  • Vous utilisez une version d’angular- inférieure à 0.1.10
  • Vous utilisez la liste d’autorisation de domaine dans votre code

Comment résoudre ce problème?

Les développeurs utilisant la bibliothèque angular-jwt doivent effectuer une mise à niveau vers la dernière version : 0.1.10. La trousse mise à jour est disponible sur NPM : npm install angular-jwt@0.1.10 Pour faciliter la mise à jour des mises à jour de sécurité, veuillez vous assurer que votre fichier package.json est mis à jour pour recevoir les correctifs et les mises à jour mineures de nos bibliothèques : 
{
  "dependencies": {
    "angular-jwt": "^0.1.10"
  }
}

Cette mise à jour aura-t-elle un impact sur mes utilisateurs?

Non. Ce correctif corrige la bibliothèque que votre application exécute, mais n’aura pas d’impact sur vos utilisateurs, leur état actuel ou les sessions existantes.
I