CVE-2022-24794：Express OpenID Connectライブラリーのセキュリティ更新

公開日：2022年3月30日

CVE番号：CVE-2022-24794

requiresAuthミドルウェアを直接またはデフォルトのauthRequiredオプションで使用しているユーザーは、ミドルウェアがキャッチオールルートに適用されている場合、オープンリダイレクト攻撃に対し脆弱になります。

example.comにあるすべてのルートがrequiresAuthミドルウェアによって保護されている場合には、ログイン後にhttp://example.com//google.comを開くとgoogle.comにリダイレクトされます。これは、Expressフレームワークによって報告された元のURLが正しくサニタイズされていないためです。

requiresAuthミドルウェアをキャッチオールルートまたはデフォルトのauthRequiredオプションで使用していて、express-openid-connectのバージョンが2.7.1以前の場合には影響を受けます。

バージョン2.7.2以降にアップグレードしてください。

パッチで提供される修正はユーザーには影響しません。