> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt
> Use this file to discover all available pages before exploring further.

# CVE-2018-15121 : Vulnérabilité de sécurité dans auth0-aspnet et auth0-aspnet-owin

> CVE-2018-15121 : Vulnérabilité de sécurité dans le logiciel médiateur Auth0 obsolète pour ASP.NET

**Date de publication** : 6 août 2018

**Numéro CVE** : CVE-2018-15121

**Crédit** : Kévin Chalet

<div id="overview">
  ## Présentation
</div>

Toutes les versions des paquets [auth0-aspnet](https://github.com/auth0/auth0-aspnet) et [auth0-aspnet-owin](https://github.com/auth0/auth0-aspnet-owin) présentent une faille de sécurité qui rend les applications clientes vulnérables à une attaque de type Cross-Site Request Forgery (CSRF) lors des opérations d’autorisation et d’authentification.

La cause principale de cette vulnérabilité est le manque d’utilisation et de vérification du paramètre `state` dans les protocoles <Tooltip href="/docs/fr-CA/fr-ca/glossary?term=oath2" tip="OAuth 2.0
Cadre d’applications d’autorisation qui définit les protocoles d’autorisation et les flux de production." cta="Voir le glossaire">OAuth 2.0</Tooltip> et <Tooltip href="/docs/fr-CA/fr-ca/glossary?term=openid" tip="OpenID
Norme ouverte d’authentification qui permet aux applications de vérifier l’identité des utilisateurs sans avoir à collecter leurs informations de connexion." cta="Voir le glossaire">OpenID</Tooltip> Connect (OIDC) qui permet à un attaquant d’injecter son code d’autorisation dans la session de la victime.

<div id="am-i-affected">
  ## Cela me concerne-t-il?
</div>

Si vous utilisez une version de `auth0-aspnet` ou `auth0-aspnet-owin`, vous êtes affecté par cette vulnérabilité.

<div id="how-to-fix-that">
  ## Comment résoudre ce problème?
</div>

Le développement des paquets [auth0-aspnet](https://github.com/auth0/auth0-aspnet) et [auth0-aspnet-owin](https://github.com/auth0/auth0-aspnet-owin) a été interrompu. Nous recommandons fortement de passer à OWIN 4 et au paquet officiel `Microsoft.Owin.Security.OpenIdConnect`, qui n’est pas vulnérable.

Si votre application n’utilise pas actuellement OWIN, veuillez vous référer à la documentation [OWIN](https://docs.microsoft.com/en-us/aspnet/aspnet/overview/owin-and-katana/) de Microsoft pour l’activer dans votre application.

<div id="will-this-update-impact-my-users">
  ### Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?
</div>

Les états et les sessions des utilisateurs actuels seront invalidés, car différentes bibliothèques gèrent l’authentification.
