概要
auth0.jsJavaScriptライブラリで脆弱性が特定されており、バージョン8.12が影響を受けます。
サイトまたはアプリケーションがauth0.popup.callback()でポップアップコールバックページを使用している場合、攻撃者は無制限のCross-originのポストメッセージ要求を利用して、ログインユーザーのトークンにアクセスする可能性があります。悪意のあるWebサイトは、取得したアクセストークンを使用して、ユーザーに代わってサービスを呼び出す可能性があります。
この更新では、オリジン検証を実装することで、メッセージが指定されたドメイン外のページに投稿されることを防ぎ、脆弱性に対応します。ドメインが指定されていない場合は、コールバックページがホストされているドメインのみが許可されます。攻撃者はCross-origin要求エラーを受け取ることになります。
この脆弱性を修正するには、ライブラリのアップグレードが必要です。
自分は影響を受けますか?
以下に該当する場合は、この脆弱性の影響を受けます。8.12より前のバージョンのauth0.jsを使用しています- コードで
auth0.popup.callback()を含むポップアップコールバックページを使用しています
修正方法
auth0.jsライブラリを使用している開発者は、最新バージョンにアップグレードしてください:8.12。
更新されたパッケージはnpmで入手できます。今後の追加のバグ修正を確実に受け取るために、ライブラリのパッチとマイナーレベルの更新が適用されるようpackage.jsonファイルが更新されていることを確認してください。