CVE-2019-20173 : Mise à jour de sécurité du plugiciel WordPress pour Auth0 wp-auth0

Date de publication : 31 janvier 2020

Numéro CVE : CVE-2019-20173

Crédit: Muhamad Visat

Le plugiciel WordPress pour Auth0 versions 3.11.0, 3.11.1 et 3.11.2 ne traite pas correctement le paramètre de requête wle. Cela pourrait permettre à une personne malveillante de lancer une attaque XSS (scripting inter-site) contre la page de connexion.

Cette vulnérabilité vous touche si toutes les conditions suivantes sont réunies :

• Vous utilisez le plugiciel WordPress pour Auth0 versions 3.11.0, 3.11.1 ou 3.11.2

• Le paramètre « Formulaire de connexion d’origine sur wp-login.php » dans les paramètres de base est défini sur l’une des deux options suivantes :

  • « Via a link under the Auth0 form (Via un lien dans le formulaire Auth0) » (option par défaut)

  • « When "wle" query parameter is present (Lorsque le paramètre de requête wle est présent) »

Les développeurs qui utilisent le plugiciel WordPress pour Auth0 doivent effectuer une mise à niveau vers la version 3.11.3 ou supérieure.

Non. Ce correctif corrige la bibliothèque que votre application exécute, mais n’aura pas d’impact sur vos utilisateurs, leur état actuel ou les sessions existantes.