Passer au contenu principal
Date de publication: 26 février 2018 Numéro CVE : CVE-2018-7307 Crédit : Interne

Présentation

Une vulnérabilité a été constatée dans la bibliothèque auth0.js JavaScript, affectant les versions < 9.3. This vulnerability allows an attacker to bypass the CSRF check from the state parameter if it’s missing from the authorization response, leaving the client vulnerable to CSRF attacks. La correction de cette vulnérabilité nécessite une mise à jour de la bibliothèque.

Cela me concerne-t-il?

Cette vulnérabilité vous touche si vous utilisez une version d’auth0.js inférieure à 9.3.

Comment résoudre ce problème?

Les développeurs utilisant la bibliothèque auth0.js doivent effectuer une mise à niveau vers la version 9.3 ou supérieure. Des packages mis à jour sont proposés sur npm. Pour assurer la livraison de corrections de bogues supplémentaires, veuillez vous assurer que votre fichier package.json est mis à jour pour recevoir les correctifs et les mises à jour mineures de nos bibliothèques. 
{
  "dependencies": {
    "auth0-js": "^9.3.0"
  }
}

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Non. Ce correctif corrige la bibliothèque que votre application exécute, mais n’aura pas d’impact sur vos utilisateurs, leur état actuel ou les sessions existantes.