CVE-2020-15240 : Mise à jour de sécurité pour la validation JWT omniauth-auth0
Date de publication : 21 octobre 2020
Numéro CVE: CVE-2020-15240
Présentation
La version 2.3.0 et versions ultérieures valident de manière incorrecte la signature du jeton JWT avec la méthode JWTValidator.verify. Cette validation incorrecte de la signature du jeton JWT en l’absence du flux de code d’autorisation peut permettre à une personne malveillante de contourner les phases d’authentification et d’autorisation.
Cela me concerne-t-il?
Cette vulnérabilité vous concerne si toutes les conditions suivantes sont réunies :
Vous utilisez
omniauth-auth0Vous utilisez directement la méthode
JWTValidator.verifyOU vous n’utilisez pas le flux de code d’autorisation par défaut de la trousse SDK pour vous authentifier.
Comment résoudre ce problème?
Mettez à niveau vers la version 2.4.1.
Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?
Les modifications apportées par le correctif n’affecteront pas vos utilisateurs.