メインコンテンツへスキップ
公開日 :2020年4月9日 CVE番号 :CVE-2020-5263 著者 :Bogdan Vitoc(Spatial Systems Inc)

概要

バージョン8.0.0から9.13.1(両バージョンを含む)では、(認証)エラーが発生した場合、ライブラリーによって返されるエラーオブジェクトにはユーザーの元の要求が含まれおり、これにはユーザーが入力したパスワードが平文で含まれている場合があります。 エラーオブジェクトが変更されることなく公開またはログに記録されると、アプリケーションでパスワードが漏洩する危険があります。

自分は影響を受けますか?

以下の条件がすべて当てはまる場合には、この脆弱性の影響を受けます。
  • バージョン8.0.0から9.13.1までの(両バージョンを含む)Auth0.jsを使用している。
  • エラーオブジェクトにフィルターをかけずに保存または表示している。

修正方法

エラー時にユーザーが入力したパスワードがマスクされるバージョン9.13.2以降にauth0.jsをアップグレードする必要があります。アップグレードができない場合は、一時的な修正として、エラーオブジェクトを変更せずに保存または公開しないことで対応します。

この更新はユーザーに影響を与えますか?

このAuth0.js修正パッチを実行すると、エラーオブジェクトでパスワードが使用できなくなるため、アプリケーションコードの変更が必要になる可能性がありますが、ユーザー、ユーザーの現在の状態、または既存のセッションには影響しません。
I