CVE-2021-41246 : Mise à jour de sécurité pour la bibliothèque Express OpenID Connect

Sur cette page

Présentation
Suis-je affecté?
Comment résoudre ce problème?
Cette mise à jour aura-t-elle un impact sur mes utilisateurs?

Publié : 8 décembre 2021 Numéro CVE: CVE-2021-41246

Présentation

Les versions 2.3.0 à 2.5.1 n’ont pas régénéré l’identifiant de session et le cookie de session lorsque l’utilisateur se connecte. Ce comportement expose l’application à diverses vulnérabilités de fixation de session.

Suis-je affecté?

Vous êtes affecté par cette vulnérabilité si vous utilisez express-openid-connect version 2.3.0 jusqu’à et y compris la version 2.5.1 et utilisez un magasin de session personnalisé.

Comment résoudre ce problème?

Passer à la version >= 2.5.2

Cette mise à jour aura-t-elle un impact sur mes utilisateurs?

Le correctif fourni dans le patch n’affectera pas vos utilisateurs.

CVE-2021-43812 : Mise à jour de sécurité pour la bibliothèque Auth0 de Next.js

CVE-2021-32702 : Mise à jour de la sécurité pour la bibliothèque Auth0 Next.js

⌘I

Protection de votre application

Protect Your Tenant

Conformité

CVE-2021-41246 : Mise à jour de sécurité pour la bibliothèque Express OpenID Connect

Présentation

Suis-je affecté?

Comment résoudre ce problème?

Cette mise à jour aura-t-elle un impact sur mes utilisateurs?

Protection de votre application

Protect Your Tenant

Conformité

​Présentation

​Suis-je affecté?

​Comment résoudre ce problème?

​Cette mise à jour aura-t-elle un impact sur mes utilisateurs?

Présentation

Suis-je affecté?

Comment résoudre ce problème?

Cette mise à jour aura-t-elle un impact sur mes utilisateurs?