CVE-2017-17068: Mise à jour de sécurité concernant la vulnérabilité liée à la page de rappel contextuel dans auth0.js

Date de publication : 4 décembre 2017

Numéro CVE: CVE-2017-17068

Crédit: @AppCheckNG

Une vulnérabilité affectant les versions < 8.12 a été constatée dans la bibliothèque auth0.js JavaScript.

Si votre site ou application utilise une page de rappel contextuel avec auth0.popup.callback(), alors un pirate pourrait tirer parti des requêtes illimitées de message de publication de type inter-origines et accéder aux jetons des utilisateurs connectés. Un site Web malveillant pourrait alors utiliser tout jeton d’accès acquis pour invoquer des services au nom de l’utilisateur.

Cette mise à jour corrige la vulnérabilité en mettant en œuvre la vérification de l’origine afin que le message ne puisse pas être publié sur une page qui ne se trouve pas dans un domaine spécifié. Si aucun domaine n’est spécifié, seul le domaine où la page de rappel est hébergée est autorisé. Un pirate recevrait alors une erreur de requête inter-origines.

La correction de cette vulnérabilité nécessite une mise à jour de la bibliothèque.

Si les conditions suivantes s’appliquent, vous êtes affecté par cette vulnérabilité :

• Vous utilisez une version d’auth0.js inférieure à 8.12

• Vous utilisez une page de rappel contextuel avec auth0.popup.callback() dans votre code

Les développeurs utilisant la bibliothèque auth0.js doivent effectuer une mise à niveau vers la dernière version : 8.12.

Des packages mis à jour sont proposés sur npm. Pour assurer la livraison de corrections de bogues supplémentaires, veuillez vous assurer que votre fichier package.json est mis à jour pour recevoir les correctifs et les mises à jour mineures de nos bibliothèques.

{
  "dependencies": {
    "auth0-js": "^8.12.0"
  }
}

Non. Ce correctif corrige la bibliothèque que votre application exécute, mais n’aura pas d’impact sur vos utilisateurs, leur état actuel ou les sessions existantes.