CVE-2020-15125 : Mise à jour de sécurité pour la bibliothèque node-auth0

Date de publication: 28 juillet 2020 Numéro CVE: CVE-2020-15125 Crédit: Omar Diab (http://github.com/osdiab)

Présentation

La version 2.27.0 et versions antérieures utilisent une liste bloquée de clés précises qui doivent être validées depuis l’objet de demande contenu dans l’objet d’erreur. Lorsqu’une demande à Auth0 échoué, la clé de l’en-tête Authorization n’est pas validée et la valeur de l’en-tête Authorization peut être consignée en exposant un jeton du porteur.

Cela me concerne-t-il?

Cette vulnérabilité vous concerne si toutes les conditions suivantes sont réunies :

Vous utilisez le package auth0 npm.
Vous utilisez une application de communication entre machines autorisée à utiliser le flux des identifiants client d’Auth0 Management API.

Comment résoudre ce problème?

Mettez à niveau vers la version 2.27.1.

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Le correctif fourni dans le patch n’affectera pas vos utilisateurs.

Protection de votre application

Protect Your Tenant

Conformité

CVE-2020-15125 : Mise à jour de sécurité pour la bibliothèque node-auth0

Présentation

Cela me concerne-t-il?

Comment résoudre ce problème?

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Protection de votre application

Protect Your Tenant

Conformité

​Présentation

​Cela me concerne-t-il?

​Comment résoudre ce problème?

​Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Présentation

Cela me concerne-t-il?

Comment résoudre ce problème?

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?