CVE-2018-15121：auth0-aspnetおよびauth0-aspnet-owninのセキュリティの脆弱性

公開日：2018年8月6日

CVE番号：CVE-2018-15121

著者：Kévin Chalet

概要

auth0-aspnetおよびauth0-aspnet-owninパッケージのすべてのバージョンには、承認および認証操作中にクライアントアプリケーションがクロスサイトリクエストフォージェリ（CSRF）攻撃に対して脆弱になるセキュリティの脆弱性があります。

この脆弱性の根本的な原因は、OAuth 2.0およびOpenID Connect (OIDC)プロトコルの状態パラメーターの使用と検証が不十分なため、攻撃者が被害者のセッションに認証コードを挿入できることにあります。

auth0-aspnetまたはauth0-aspnet-owninのいずれかのバージョンを使用している場合、この脆弱性の影響を受けます。

auth0-aspnetおよびauth0-aspnet-owninパッケージのさらなる開発は中止されました。脆弱性のないOWIN 4 および公式のMicrosoft.Owin.Security.OpenIdConnectパッケージに移行することを強くお勧めします。

アプリケーションが現在OWINを使用していない場合は、MicrosoftのOWINドキュメントを参照して、アプリケーションでこれを有効にしてください。

別のライブラリが認証を処理するため、現在のユーザー状態とセッションは無効になります。