CVE-2018-7307：auth0.js 9.3未満のセキュリティ脆弱性

公開日：2018年2月26日

CVE番号：CVE-2018-7307

著者：内部

auth0.js JavaScriptライブラリーで脆弱性が特定されており、バージョン9.3未満が影響を受けています。

この脆弱性により、攻撃者は認可応答において状態パラメーターが欠如している場合にCSRFチェックを回避することが可能となるため、クライアントがCSRF攻撃に対して脆弱な状態になります。

この脆弱性を修正するには、ライブラリーのアップグレードが必要です。

auth0.jsのバージョンが9.3未満の場合、この脆弱性の影響を受けます。

auth0.jsライブラリーを使用している開発者は、バージョン9.3以降にアップグレードしてください。

更新されたパッケージはnpmで入手できます。今後の追加のバグ修正を確実に受け取るために、ライブラリーのパッチとマイナーレベルの更新が適用されるようpackage.jsonファイルが更新されていることを確認してください。

{
  "dependencies": {
    "auth0-js": "^9.3.0"
  }
}

いいえ。この修正によりアプリケーションが実行するライブラリーにパッチが適用されますが、ユーザーとその現在のステータス、既存のセッションには影響はありません。