概要
2.3.0以降のバージョンでは、JWTValidator.verifyメソッドでトークンの署名が不正に検証されます。デフォルトの認可コードフローを使用していない場合にJWTトークンの署名が不正に検証されると、攻撃者が認証や認可を迂回できるようになる可能性があります。
自分は影響を受けますか?
以下の条件がすべて当てはまる場合には、この脆弱性の影響を受けます。omniauth-auth0を使用しているJWTValidator.verifyメソッドを直接使用しているか、認証にSDKのデフォルトの認可コードフローを使用していない。
修正方法
バージョン2.4.1にアップグレードしてください。