CVE-2019-20173：Auth0 wp-auth0向けWordPress Pluginのセキュリティ更新

公開日：2020年1月31日

CVE番号：CVE-2019-20173

著者：Muhamad Visat

Auth0の3.11.0、3.11.1、および3.11.2バージョンのWordPress Pluginでは、wleクエリパラメーターを適切にサニタイズしません。このため、攻撃者はログインページにクロスサイトスクリプティング（XSS）攻撃を仕掛けることが可能になります。

以下の条件がすべて当てはまる場合、この脆弱性によって影響を受けることになります。

• 使用しているWordPress PluginのAuth0のバージョンが3.11.0、3.11.1または3.11.2である

• ［Basic settings（基本設定）］の下にある「Original Login Form on wp-login.php」設定が、以下の2つオプションのいずれかに設定されている。

  • ［Via a link under the Auth0 form（Auth0フォームの下のリンク経由）］（デフォルトオプション）

  • ［When "wle" query parameter is present（"wle"クエリパラメーターがあるとき）］

Auth0のWordPress Pluginを使用している開発者は、3.11.3以降のバージョンにアップグレードする必要があります。

いいえ。この修正によりアプリケーションが実行するライブラリーにパッチが適用されますが、ユーザーとその現在のステータス、既存のセッションには影響はありません。