Passer au contenu principal
Date de publication: 16 août 2020 Numéro CVE: CVE-2020-15119 Crédit: Muhamad Visat

Présentation

Les version antérieures (dont 11.25.1) ont recours à dangerouslySetInnerHTML pour afficher un message informatif lorsqu’elles sont utilisées avec une connexion sans mot de passe ou une connexion d’entreprise.
  • Dans le cas d’une connexion sans mot de passe, la valeur de l’entrée (adresse courriel ou numéro de téléphone) s’affiche à l’intention de l’utilisateur en attendant la saisie du code de vérification.
  • Pour une connexion d’entreprise, la valeur de l’entrée (domaine de l’) saisie sur l’écran de configuration de la connexion d’entreprise () est affichée à l’intention de l’utilisateur à l’ouverture du widget Lock.
Lors d’une connexion sans mot de passe ou d’une connexion d’entreprise, l’application et ses utilisateurs peuvent être exposés à des attaques de type XSS (cross-site scripting - script intersites).

Cela me concerne-t-il?

Cette vulnérabilité vous concerne si toutes les conditions suivantes sont réunies :
  • vous utilisez auth0-lock
  • vous avez recours à un mode de connexion sans mot de passe ou d’entreprise.

Comment résoudre ce problème?

Effectuez une mise à niveau vers la version 11.26.3.

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Le correctif fourni dans le patch n’affectera pas vos utilisateurs.
I