Passer au contenu principal
Date de publication : 6 août 2018 Numéro CVE : CVE-2018-15121 Crédit : Kévin Chalet

Présentation

Toutes les versions des paquets auth0-aspnet et auth0-aspnet-owin présentent une faille de sécurité qui rend les applications clientes vulnérables à une attaque de type Cross-Site Request Forgery (CSRF) lors des opérations d’autorisation et d’authentification. La cause principale de cette vulnérabilité est le manque d’utilisation et de vérification du paramètre state dans les protocoles et Connect (OIDC) qui permet à un attaquant d’injecter son code d’autorisation dans la session de la victime.

Cela me concerne-t-il?

Si vous utilisez une version de auth0-aspnet ou auth0-aspnet-owin, vous êtes affecté par cette vulnérabilité.

Comment résoudre ce problème?

Le développement des paquets auth0-aspnet et auth0-aspnet-owin a été interrompu. Nous recommandons fortement de passer à OWIN 4 et au paquet officiel Microsoft.Owin.Security.OpenIdConnect, qui n’est pas vulnérable. Si votre application n’utilise pas actuellement OWIN, veuillez vous référer à la documentation OWIN de Microsoft pour l’activer dans votre application.

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Les états et les sessions des utilisateurs actuels seront invalidés, car différentes bibliothèques gèrent l’authentification.