CVE-2022-24794 : Mise à jour de sécurité pour la bibliothèque Express OpenID Connect

Date de publication : 30 mars 2022

Numéro CVE : CVE-2022-24794

Les utilisateurs du logiciel médiateur requiresAuth , que ce soit directement ou via l’option par défaut authRequired sont vulnérables à une redirection ouverte lorsque le logiciel médiateur est appliqué à une route de type catch-all.

Si toutes les routes sous example.com sont protégées par le logiciel médiateur requiresAuth , une visite à http://example.com//google.com sera redirigée vers google.com après connexion, car l’URL d’origine rapportée par le cadre d’applications Express n’est pas correctement assainie.

Vous êtes concerné par cette vulnérabilité si vous utilisez le logiciel médiateur requiresAuth sur une route de type catch-all ou l’option par défaut authRequired et si vous utilisez la version express-openid-connect<=2.7.1.

Faites une mise à jour pour passer à la version >=2.7.2

Le correctif fourni dans le patch n’affectera pas vos utilisateurs.