概要
auth0.netのバージョンとそれに関連付けられているNuGetパッケージのAuth0.AuthenticationAPI5.8.0から6.5.3までには公開のValidateAsyncメソッドを使用するIdentityTokenValidatorという名前のクラスが含まれますが、これが行う検証はわずかで、Auth0発行のトークンにのみ適しています。
自分は影響を受けますか?
以下の条件がすべて当てはまる場合には、この脆弱性の影響を受けます。IdentityTokenValidatorを使用して、信頼できないIDトークンを検証している- 使用しているAuth0.AuthenticationAPIのバージョンが
5.8.0から6.5.3までに該当する
修正方法
開発者は、IdentityTokenValidatorクラスを使って、信頼できないIDトークンを検証しないようにします。IDトークンの検証に関する推奨については、「IDトークンを検証する」を参照してください。https://jwt.io/はオープンソースの検証ライブラリーとその機能について、優れたリソースを提供しています。ユースケースによっては、追加のロジックが必要かもしれないことに注意してください。
開発者がauth0.netとそれに関連付けられているNuGetパッケージのAuth0.AuthenticationAPI5.8.0から6.5.3までを使用している場合には、最新のバージョン6.5.4にアップグレードし、IdentityTokenValidatorクラスが誤って使用されないようにします。