CVE-2018-11537:angular-jwt許可リストのバイパスに関するセキュリティ更新

公開日:2018年6月5日

CVE番号:CVE-2018-11537

著者:Stephan Hauser

概要

ドメイン許可リスト機能はバイパスされる可能性があります。たとえば、設定が次で初期化された場合:

jwtInterceptorProvider.whiteListedDomains = ['whitelisted.Example.com'];

攻撃者は許可リストフィルターを通過するドメイン、whitelistedXexample.comをセットアップすることができます。この根本的な原因は、angular-jwtwhiteListedDomainsエントリーを常に正規表現として扱い、.区切り文字が任意の文字と一致してしまうことです。

自分は影響を受けますか?

以下に該当する場合は、この脆弱性の影響を受けます。

  • バージョン0.1.10より前のangular-jwtを使用している

  • コードにドメイン許可リストを使用している

対処方法は?

angular-jwtライブラリーを使用している開発者は、最新バージョンにアップグレードしてください:0.1.10

更新されたパッケージはNPMで入手できます:npm install angular-jwt@0.1.10

今後のセキュリティ更新に簡単に対応できるように、ライブラリーのパッチとマイナーレベルの更新が適用されるようpackage.jsonファイルが更新されていることを確認してください。

{
  "dependencies": {
    "angular-jwt": "^0.1.10"
  }
}

Was this helpful?

/

この更新はユーザーに影響しますか?

いいえ。この修正によりアプリケーションが実行するライブラリーにパッチが適用されますが、ユーザーとその現在のステータス、既存のセッションには影響はありません。