Bulletin de sécurité Auth0 pour l’affectation des permissions en fonction de l’adresse courriel

Si vous :

• utilisez des règles pour attribuer des permissions aux utilisateurs en fonction de leur adresse courriel et que

• votre application utilise des connexions multiples, alors

il est possible que vos permissions soient compromises.

Auth0 requiert que les adresses courriel soient uniques pour chaque connexion. Cependant, il n'y a pas de limitations par application.

Par conséquent, il est possible que l’utilisateur A s’inscrive à l’application en utilisant une connexion et que l’utilisateur B s’inscrive à l’application avec la même adresse courriel en utilisant une connexion différente.

Si vos règles attribuent des permissions aux utilisateurs sur la base de l’adresse courriel, le deuxième utilisateur s'est vu attribuer les mêmes permissions que le premier, bien qu'il s'agisse d'une personne différente.

La solution la plus simple consiste à requérir des utilisateurs qu’ils vérifient leur adresse courriel après s'être inscrits et avant d'être autorisés à se connecter.