CVE-2021-32702
概要
1.4.1以前のバージョンは、反射型XSSに対して脆弱です。攻撃者は任意のコードを実行できるように、errorクエリパラメーターにXSSペイロードを提供し、コールバックハンドラーにエラーメッセージとして処理されるようにします。
自分は影響を受けますか?
@auth0/nextjs-auth0のバージョン1.4.1以前を使用している場合には影響を受けます。ただし 、カスタムエラーハンドラーがHTML応答でエラーメッセージを返さない場合には影響されません。
修正方法
バージョン1.4.2にアップグレードしてください。