CVE-2020-15119:Auth0 Lockライブラリーのセキュリティ更新
公開日:2020年8月16日
CVE番号:CVE-2020-15119
概要
11.25.1を含め、それ以前のバージョンでは、パスワードレスまたはエンタープライズ接続で使用する際、dangerouslySetInnerHTMLを用いて、情報メッセージを表示します。
パスワードレス接続では、ユーザーが検証コードを入力している間、入力の値(メールまたは電話番号)がユーザーに再度表示されます。
エンタープライズ接続では、Lockウィジェットが開いた際に、エンタープライズ接続のセットアップ画面(Auth0 Dashboard)の入力の値(IdPドメイン)がユーザーに再度表示されます。
パスワードレスまたはエンタープライズ接続が使用されている場合、アプリケーションとそのユーザーは、クロスサイトスクリプティング(XSS)攻撃にさらされる可能性があります。
自分は影響を受けますか?
以下の条件がすべて当てはまる場合、この脆弱性によって影響を受けることになります。
auth0-lockを使用しているパスワードレスまたはエンタープライズ接続モードを使用している
修正方法
11.26.3バージョンにアップグレードしてください。
この更新はユーザーに影響を与えますか?
パッチで提供される修正はユーザーには影響しません。