CVE-2020-15125 : Mise à jour de sécurité pour la bibliothèque node-auth0

Date de publication: 28 juillet 2020

Numéro CVE: CVE-2020-15125

Crédit: Omar Diab (http://github.com/osdiab)

Présentation

La version 2.27.0 et versions antérieures utilisent une liste bloquée de clés précises qui doivent être validées depuis l’objet de demande contenu dans l’objet d’erreur. Lorsqu’une demande à Auth0 Management API échoué, la clé de l’en-tête Authorization n’est pas validée et la valeur de l’en-tête Authorization peut être consignée en exposant un jeton du porteur.

Cela me concerne-t-il?

Cette vulnérabilité vous concerne si toutes les conditions suivantes sont réunies :

Vous utilisez le package auth0 npm.
Vous utilisez une application de communication entre machines autorisée à utiliser le flux des identifiants client d'Auth0 Management API.

Comment résoudre ce problème?

Mettez à niveau vers la version 2.27.1.

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Le correctif fourni dans le patch n’affectera pas vos utilisateurs.

Sécuriser

CVE-2020-15125 : Mise à jour de sécurité pour la bibliothèque node-auth0

Présentation

Cela me concerne-t-il?

Comment résoudre ce problème?

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?