Passer au contenu principal
Date de publication : 23 juillet 2019 Numéro CVE : CVE-2019-13483

Présentation

Les versions de Passport-SharePoint antérieures à la version 0.4.0 ne valident pas la signature d’un jeton d’accès avant traitement. Cette faille permet aux attaquants de falsifier les jetons et de contourner les mécanismes d’authentification et d’autorisation.

Cela me concerne-t-il?

Vous êtes touché par cette faille si vous utilisez une version de Passport-SharePoint antérieure à la version 0.4.0.

Comment résoudre ce problème?

Les développeurs qui utilisent la bibliothèque Passport-SharePoint doivent passer à la version 0.4.0. Notez que la bibliothèque est déconseillée et qu’elle ne sera plus maintenue par Auth0. Nous recommandons aux développeurs de ne plus l’utiliser.

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Non. Ce correctif corrige la bibliothèque que votre application exécute, mais il n’aura pas d’incidence sur vos utilisateurs, leur état actuel ou les sessions existantes.