Passer au contenu principal
Date de publication: 9 avril 2020 Numéro CVE : CVE-2020-5263 Crédit: Bogdan Vitoc (Spatial Systems Inc)

Présentation

Entre les versions 8.0.0 et 9.13.1 (incluses), dans le cas d’une erreur (d’authentification), l’objet d’erreur renvoyé par la bibliothèque contient la requête originale de l’utilisateur, qui peut inclure le mot de passe en clair saisi par l’utilisateur. Si l’objet d’erreur est exposé ou enregistré sans modification, l’application court le risque d’exposer le mot de passe.

Cela me concerne-t-il?

Cette vulnérabilité vous concerne si toutes les conditions suivantes sont réunies :
  • Vous utilisez la version 8.0.0 à 9.13.1 (inclus) de Auth0.js.
  • Vous stockez ou affichez des objets d’erreur sans filtrage.

Comment résoudre ce problème?

Les développeurs doivent faire évoluer auth0.js vers la version 9.13.2 (ou version ultérieure), où les mots de passe saisis par l’utilisateur sont masqués dans les erreurs. Si la mise à niveau n’est pas possible, une solution temporaire pourrait consister à ne pas stocker l’objet d’erreur ni à l’afficher publiquement sans modification.

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Cette solution corrige le problème dans Auth0.js et peut nécessiter des changements dans le code de l’application en raison du fait que le mot de passe n’est plus disponible dans l’objet d’erreur, mais cela n’aura pas d’impact sur vos utilisateurs, leur état actuel ou les sessions existantes.
I