CVE-2021-32702 : Mise à jour de la sécurité pour la bibliothèque Auth0 Next.js

Date de publication : 23 juin 2021

Numéro CVE : CVE-2021-32702

Présentation

Les versions antérieures (version 1.4.1 incluse) sont vulnérables aux XSS réfléchis. Un attaquant peut exécuter du code arbitraire en fournissant une charge utile XSS dans le paramètre de requête error qui est ensuite traité par le gestionnaire de rappel comme un message d’erreur.

Suis-je concerné?

Vous êtes concerné par cette vulnérabilité si vous utilisez @auth0/nextjs-auth0 version 1.4.1 ou précédente sauf si vous utilisez une gestion des erreurs personnalisée qui ne renvoie pas le message d’erreur dans une réponse HTML.

Comment résoudre ce problème?

Mettez à niveau vers la version 1.4.2.

Cette mise à jour aura-t-elle un impact sur mes utilisateurs?

Le correctif ajoute un échappement HTML de base au message d’erreur et ne devrait pas avoir d’impact sur vos utilisateurs.

Crédit

https://github.com/inian

Sécuriser