CVE-2021-41246 : Mise à jour de sécurité pour la bibliothèque Express OpenID Connect

Publié : 8 décembre 2021

Numéro CVE: CVE-2021-41246

Présentation

Les versions 2.3.0 à 2.5.1 n’ont pas régénéré l’identifiant de session et le cookie de session lorsque l’utilisateur se connecte. Ce comportement expose l’application à diverses vulnérabilités de fixation de session.

Suis-je affecté?

Vous êtes affecté par cette vulnérabilité si vous utilisez express-openid-connect version 2.3.0 jusqu’à et y compris la version 2.5.1 et utilisez un magasin de session personnalisé.

Comment résoudre ce problème?

Passer à la version >= 2.5.2

Cette mise à jour aura-t-elle un impact sur mes utilisateurs?

Le correctif fourni dans le patch n’affectera pas vos utilisateurs.

Was this article helpful?