CVE-2018-11537 : Mise à jour de sécurité pour le Contournement de la liste d’autorisations angular-jwt

Date de publication : 5 juin 2018

Numéro CVE : CVE-2018-11537

Crédit : Stephan Hauser

La fonctionnalité liste d’autorisation de domaine peut être contournée.

jwtInterceptorProvider.whiteListedDomains = [‘whitelisted.Example.com’];

Un attaquant peut configurer un domaine whitelistedXexample.com qui passera le filtre de la liste d’autorisation. La cause principale de ceci est que angular-jwt traite toujours les entrées whiteListedDomains comme des expressions régulières et causes . séparateur pour correspondre à n’importe quel caractère.

Si les conditions suivantes s’appliquent, vous êtes affecté par cette vulnérabilité :

• Vous utilisez une version d’angular-jwt inférieure à 0.1.10

• Vous utilisez la liste d’autorisation de domaine dans votre code

Les développeurs utilisant la bibliothèque angular-jwt doivent effectuer une mise à niveau vers la dernière version : 0.1.10.

La trousse mise à jour est disponible sur NPM : npm install angular-jwt@0.1.10

Pour faciliter la mise à jour des mises à jour de sécurité, veuillez vous assurer que votre fichier package.json est mis à jour pour recevoir les correctifs et les mises à jour mineures de nos bibliothèques :

{
  "dependencies": {
    "angular-jwt": "^0.1.10"
  }
}

Non. Ce correctif corrige la bibliothèque que votre application exécute, mais n’aura pas d’impact sur vos utilisateurs, leur état actuel ou les sessions existantes.