CVE-2020-15125:node-auth0ライブラリーのセキュリティ更新

公開日:2020年7月28日

CVE番号:CVE-2020-15125

著者:Omar Diab(http://github.com/osdiab)

概要

バージョン2.27.0を含む以前のバージョンでは、エラーオブジェクトに含まれる要求オブジェクトからサニタイズすべきキーを特定したブロックリストを使用します。Auth0 Management APIへの要求が失敗すると、認可ヘッダーのキーはサニタイズされず、認可ヘッダー値をログに記録してベアラートークンを明らかにできます。

自分は影響を受けますか?

以下の条件がすべて当てはまる場合は、この脆弱性から影響を受けます:

  • auth0 npmパッケージを使用している。

  • Auth0のManagement APIクライアントの資格情報フローを使用することが認可されているマシンツーマシンのアプリケーションを使用している。

修正方法

バージョン2.27.1にアップグレードしてください。

この更新はユーザーに影響を与えますか?

パッチで提供される修正はユーザーには影響しません。