CVE-2020-5263 : Mise à jour de sécurité pour la bibliothèque auth0.js

Date de publication: 9 avril 2020

Numéro CVE : CVE-2020-5263

Crédit: Bogdan Vitoc (Spatial Systems Inc)

Entre les versions 8.0.0 et 9.13.1 (incluses), dans le cas d'une erreur (d'authentification), l'objet d'erreur renvoyé par la bibliothèque contient la requête originale de l'utilisateur, qui peut inclure le mot de passe en clair saisi par l'utilisateur.

Si l'objet d'erreur est exposé ou enregistré sans modification, l'application court le risque d'exposer le mot de passe.

Cette vulnérabilité vous concerne si toutes les conditions suivantes sont réunies :

• Vous utilisez la version 8.0.0 à 9.13.1 (inclus) de Auth0.js.

• Vous stockez ou affichez des objets d'erreur sans filtrage.

Les développeurs doivent faire évoluer auth0.js vers la version 9.13.2 (ou version ultérieure), où les mots de passe saisis par l'utilisateur sont masqués dans les erreurs. Si la mise à niveau n'est pas possible, une solution temporaire pourrait consister à ne pas stocker l'objet d'erreur ni à l'afficher publiquement sans modification.

Cette solution corrige le problème dans Auth0.js et peut nécessiter des changements dans le code de l'application en raison du fait que le mot de passe n'est plus disponible dans l'objet d'erreur, mais cela n'aura pas d'impact sur vos utilisateurs, leur état actuel ou les sessions existantes.