Passer au contenu principal
Date de publication : 3 octobre 2019 Numéro CVE : CVE-2019-16929 Crédit : Dennis Detering (Spike Reply GmbH)

Présentation

Les versions d’auth0.net et du paquet NuGet associéAuth0.AuthenticationAPI de 5.8.0 à 6.5.3 incluses comprennent une classe nommée IdentityTokenValidator avec une méthode publique ValidateAsync, qui effectue une validation limitée adaptée uniquement aux jetons émis par Auth0.

Cela me concerne-t-il?

Vous êtes concerné par cette vulnérabilité si toutes les conditions suivantes s’appliquent :
  • Vous utilisez IdentityTokenValidator pour valider des jetons d’ID non approuvés.
  • Vous utilisez une version d’Auth0.AuthenticationAPI comprise entre les versions 5.8.0 et 6.5.3 incluses.

Comment résoudre ce problème?

Les développeurs ne doivent pas utiliser la classe IdentityTokenValidator pour valider des jetons d’ID non approuvés. Consultez Valider les jetons d’ID pour connaître nos recommandations sur la validation des jetons d’ID. https://jwt.io/ est une bonne ressource sur les bibliothèques  de validation en logiciel libre et sur leurs capacités. Notez qu’une logique supplémentaire peut être nécessaire en fonction de votre cas d’utilisation. Les développeurs qui utilisent auth0.net et le paquet NuGet associé Auth0.AuthenticationAPI entre les versions 5.8.0 et 6.5.3 incluses doivent passer à la dernière version 6.5.4 pour éviter l’utilisation accidentelle de la classe IdentityTokenValidator.

Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Non. Ce correctif corrige la bibliothèque client que votre application exécute, mais n’aura pas d’impact sur vos utilisateurs, leur état actuel ou les sessions existantes.