CVE-2021-41246:Express OpenID Connectライブラリーのセキュリティアップデート

公開日：2021年12月8日

CVE番号：CVE-2021-41246

バージョン2.3.0～2.5.1では、ユーザーのログイン時にセッションIDとセッションクッキーが再生成されません。この動作により、アプリケーションがさまざまなセッション固定化の脆弱性にさらされることになります。

express-openid-connectのバージョン2.3.0～2.5.1をご利用で、カスタムセッションストアを使う方は、この脆弱性の影響を受けます。

バージョン2.5.2以降にアップグレードしてください。

パッチで提供される修正はユーザーには影響しません。