CVE-2019-16929 : Vulnérabilité de sécurité dans auth0.net

Date de publication : 3 octobre 2019

Numéro CVE : CVE-2019-16929

Crédit : Dennis Detering (Spike Reply GmbH)

Les versions d’auth0.net et du paquet NuGet associéAuth0.AuthenticationAPI de 5.8.0 à 6.5.3 incluses comprennent une classe nommée IdentityTokenValidator avec une méthode publique ValidateAsync, qui effectue une validation limitée adaptée uniquement aux jetons émis par Auth0.

Vous êtes concerné par cette vulnérabilité si toutes les conditions suivantes s’appliquent :

• Vous utilisez IdentityTokenValidator pour valider des jetons d’ID non approuvés.

• Vous utilisez une version d’Auth0.AuthenticationAPI comprise entre les versions 5.8.0 et 6.5.3 incluses.

Les développeurs ne doivent pas utiliser la classe IdentityTokenValidator pour valider des jetons d’ID non approuvés. Consultez Valider les jetons d’ID pour connaître nos recommandations sur la validation des jetons d’ID. https://jwt.io/ est une bonne ressource sur les bibliothèques JWT de validation en logiciel libre et sur leurs capacités. Notez qu’une logique supplémentaire peut être nécessaire en fonction de votre cas d’utilisation.

Les développeurs qui utilisent auth0.net et le paquet NuGet associé Auth0.AuthenticationAPI entre les versions 5.8.0 et 6.5.3 incluses doivent passer à la dernière version 6.5.4 pour éviter l’utilisation accidentelle de la classe IdentityTokenValidator.

Non. Ce correctif corrige la bibliothèque client que votre application exécute, mais n’aura pas d’impact sur vos utilisateurs, leur état actuel ou les sessions existantes.