Skip to main content

Articles Quickstarts Auth0 APIs SDKs Events Catalog

Articles Quickstarts Auth0 APIs SDKs Events Catalog

セキュリティ保護

アプリケーションの保護

Protect Your Tenant

Tenant Access Control List

コンプライアンス

データプライバシーとコンプライアンス

CVE-2021-32702：Auth0 Next.jsライブラリーのセキュリティ更新

公開日：2021年6月23日

CVE番号：CVE-2021-32702

概要

1.4.1以前のバージョンは、反射型XSSに対して脆弱です。攻撃者は任意のコードを実行できるように、errorクエリパラメーターにXSSペイロードを提供し、コールバックハンドラーにエラーメッセージとして処理されるようにします。

自分は影響を受けますか？

@auth0/nextjs-auth0のバージョン1.4.1以前を使用している場合には影響を受けます。ただし、カスタムエラーハンドラーがHTML応答でエラーメッセージを返さない場合には影響されません。

修正方法

バージョン1.4.2にアップグレードしてください。

この更新はユーザーに影響を与えますか？

修正では、エラーメッセージに基本的なHTMLエスケープが追加されるため、ユーザーには影響を与えません。

出典：

https://github.com/inian

Was this article helpful?