CVE-2020-15240 : Mise à jour de sécurité pour la validation JWT omniauth-auth0

Sur cette page

Présentation
Cela me concerne-t-il?
Comment résoudre ce problème?
Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Date de publication : 21 octobre 2020 Numéro CVE: CVE-2020-15240

Présentation

La version 2.3.0 et versions ultérieures valident de manière incorrecte la signature du jeton avec la méthode JWTValidator.verify. Cette validation incorrecte de la signature du jeton JWT en l’absence du flux de code d’autorisation peut permettre à une personne malveillante de contourner les phases d’authentification et d’autorisation.

Cela me concerne-t-il?

Cette vulnérabilité vous concerne si toutes les conditions suivantes sont réunies :

Vous utilisez omniauth-auth0
Vous utilisez directement la méthode JWTValidator.verify OU vous n’utilisez pas le flux de code d’autorisation par défaut de la trousse SDK pour vous authentifier.

Comment résoudre ce problème?

Mettez à niveau vers la version 2.4.1.

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Les modifications apportées par le correctif n’affecteront pas vos utilisateurs.

CVE 2020-15259 : Mise à jour de sécurité pour ad-ldap-connector

CVE-2020-15125 : Mise à jour de sécurité pour la bibliothèque node-auth0

⌘I

Protection de votre application

Protect Your Tenant

Conformité

CVE-2020-15240 : Mise à jour de sécurité pour la validation JWT omniauth-auth0

Présentation

Cela me concerne-t-il?

Comment résoudre ce problème?

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Protection de votre application

Protect Your Tenant

Conformité

​Présentation

​Cela me concerne-t-il?

​Comment résoudre ce problème?

​Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Présentation

Cela me concerne-t-il?

Comment résoudre ce problème?

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?