概要
バージョン2.27.0を含む以前のバージョンでは、エラーオブジェクトに含まれる要求オブジェクトからサニタイズすべきキーを特定したブロックリストを使用します。Auth0 への要求が失敗すると、Authorizationヘッダーのキーはサニタイズされず、Authorizationヘッダー値をログに記録してベアラートークンを明らかにできます。
自分は影響を受けますか?
以下の条件がすべて当てはまる場合は、この脆弱性から影響を受けます:- auth0 npmパッケージを使用している。
- Auth0のManagement APIクライアントの資格情報フローを使用することが認可されているマシンツーマシンのアプリケーションを使用している。