CVE-2019-13483：Passport-SharePointにおけるセキュリティの脆弱性

公開日：2019年7月23日

CVE番号：CVE-2019-13483

0.4.0より古いバージョンのPassport-SharePointは、処理する前にアクセストークンのJWT署名を検証しません。

この脆弱性によって、攻撃者は偽トークンを使って認証および認可メカニズムを迂回することが可能です。

0.4.0より古いバージョンのPassport-SharePointを使っている場合は、この脆弱性の影響を受けます。

Passport-SharePointライブラリーを使っている開発者は バージョン0.4.0にアップグレードする必要があります。

Auth0はこのライブラリーを廃止しており、維持していないのでご注意ください。開発者も使用を止めるための計画を立ててください。

いいえ。この修正によりアプリケーションが実行するライブラリーにパッチが適用されますが、ユーザーとその現在のステータス、既存のセッションには影響はありません。