Skip to main content

Articles Quickstarts Auth0 APIs SDKs

Articles Quickstarts Auth0 APIs SDKs

セキュリティ保護

アプリケーションの保護

Protect Your Tenant

Tenant Access Control List

コンプライアンス

データプライバシーとコンプライアンス

CVE-2020-15240：omniauth-auth0 JWT検証に関するセキュリティアップデート

公開日：2020年10月21日

CVE番号：CVE-2020-15240

概要

2.3.0以降のバージョンでは、JWTValidator.verifyメソッドでJWTトークンの署名が不正に検証されます。デフォルトの認可コードフローを使用していない場合にJWTトークンの署名が不正に検証されると、攻撃者が認証や認可を迂回できるようになる可能性があります。

自分は影響を受けますか？

以下の条件がすべて当てはまる場合には、この脆弱性の影響を受けます。

omniauth-auth0を使用している
JWTValidator.verifyメソッドを直接使用しているか、認証にSDKのデフォルトの認可コードフローを使用していない。

修正方法

バージョン2.4.1にアップグレードしてください。

この更新はユーザーに影響を与えますか？

このバージョンで提供される修正はユーザーには影響しません。

Was this article helpful?