メインコンテンツへスキップ
公開日 :2020年8月16日 CVE番号 :CVE-2020-15119 著者Muhamad Visat

概要

11.25.1を含め、それ以前のバージョンでは、パスワードレスまたはエンタープライズ接続で使用する際、dangerouslySetInnerHTMLを用いて、情報メッセージを表示します。
  • パスワードレス接続では、ユーザーが検証コードを入力している間、入力の値(メールまたは電話番号)がユーザーに再度表示されます。
  • エンタープライズ接続では、Lockウィジェットが開いた際に、エンタープライズ接続のセットアップ画面()の入力の値(ドメイン)がユーザーに再度表示されます。
パスワードレスまたはエンタープライズ接続が使用されている場合、アプリケーションとそのユーザーは、クロスサイトスクリプティング(XSS)攻撃にさらされる可能性があります。

自分は影響を受けますか?

以下の条件がすべて当てはまる場合、この脆弱性によって影響を受けることになります。
  • auth0-lockを使用している
  • パスワードレスまたはエンタープライズ接続モードを使用している

修正方法

11.26.3バージョンにアップグレードしてください。

この更新はユーザーに影響を与えますか?

パッチで提供される修正はユーザーには影響しません。
I