CVE-2020-15119 : mise à jour de sécurité pour la bibliothèque Auth0 Lock

Date de publication: 16 août 2020

Numéro CVE: CVE-2020-15119

Crédit: Muhamad Visat

Les version antérieures (dont 11.25.1) ont recours à dangerouslySetInnerHTML pour afficher un message informatif lorsqu’elles sont utilisées avec une connexion sans mot de passe ou une connexion d’entreprise.

• Dans le cas d’une connexion sans mot de passe, la valeur de l’entrée (adresse courriel ou numéro de téléphone) s’affiche à l’intention de l’utilisateur en attendant la saisie du code de vérification.

• Pour une connexion d’entreprise, la valeur de l’entrée (domaine de l’IdP) saisie sur l’écran de configuration de la connexion d’entreprise (Auth0 Dashboard) est affichée à l’intention de l’utilisateur à l’ouverture du widget Lock.

Lors d’une connexion sans mot de passe ou d’une connexion d'entreprise, l’application et ses utilisateurs peuvent être exposés à des attaques de type XSS (cross-site scripting - script intersites).

Cette vulnérabilité vous concerne si toutes les conditions suivantes sont réunies :

• vous utilisez auth0-lock

• vous avez recours à un mode de connexion sans mot de passe ou d’entreprise.

Effectuez une mise à niveau vers la version 11.26.3.

Le correctif fourni dans le patch n’affectera pas vos utilisateurs.