CVE-2018-15121 : Vulnérabilité de sécurité dans auth0-aspnet et auth0-aspnet-owin

Date de publication : 6 août 2018

Numéro CVE : CVE-2018-15121

Crédit : Kévin Chalet

Toutes les versions des paquets auth0-aspnet et auth0-aspnet-owin présentent une faille de sécurité qui rend les applications clientes vulnérables à une attaque de type Cross-Site Request Forgery (CSRF) lors des opérations d’autorisation et d’authentification.

La cause principale de cette vulnérabilité est le manque d’utilisation et de vérification du paramètre state dans les protocoles OAuth 2.0 et OpenID Connect (OIDC) qui permet à un attaquant d’injecter son code d’autorisation dans la session de la victime.

Si vous utilisez une version de auth0-aspnet ou auth0-aspnet-owin, vous êtes affecté par cette vulnérabilité.

Le développement des paquets auth0-aspnet et auth0-aspnet-owin a été interrompu. Nous recommandons fortement de passer à OWIN 4 et au paquet officiel Microsoft.Owin.Security.OpenIdConnect, qui n’est pas vulnérable.

Si votre application n’utilise pas actuellement OWIN, veuillez vous référer à la documentation OWIN de Microsoft pour l’activer dans votre application.

Les états et les sessions des utilisateurs actuels seront invalidés, car différentes bibliothèques gèrent l’authentification.