> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt
> Use this file to discover all available pages before exploring further.

# CVE-2019-16929 : Vulnérabilité de sécurité dans auth0.net

> CVE-2019-16929 : Vulnérabilité de sécurité dans auth0.net

**Date de publication** : 3 octobre 2019

**Numéro CVE** : CVE-2019-16929

**Crédit** : Dennis Detering (Spike Reply GmbH)

<div id="overview">
  ## Présentation
</div>

Les versions d’[auth0.net](https://github.com/auth0/auth0.net) et du paquet NuGet associé[Auth0.AuthenticationAPI](https://www.nuget.org/packages/Auth0.AuthenticationApi/) de `5.8.0` à `6.5.3` incluses comprennent une classe nommée `IdentityTokenValidator` avec une méthode publique `ValidateAsync`, qui effectue une validation limitée adaptée uniquement aux jetons émis par Auth0.

<div id="am-i-affected">
  ## Cela me concerne-t-il?
</div>

Vous êtes concerné par cette vulnérabilité si toutes les conditions suivantes s’appliquent :

* Vous utilisez `IdentityTokenValidator` pour valider des jetons d’ID non approuvés.
* Vous utilisez une version d’Auth0.AuthenticationAPI comprise entre les versions `5.8.0` et `6.5.3` incluses.

<div id="how-to-fix-that">
  ## Comment résoudre ce problème?
</div>

Les développeurs ne doivent pas utiliser la classe `IdentityTokenValidator` pour valider des jetons d’ID non approuvés. Consultez [Valider les jetons d’ID](/docs/fr-CA/fr-ca/secure/tokens/id-tokens/validate-id-tokens) pour connaître nos recommandations sur la validation des jetons d’ID. [https://jwt.io/](https://jwt.io/) est une bonne ressource sur les bibliothèques <Tooltip href="/docs/fr-CA/fr-ca/glossary?term=json-web-token" tip="Jeton Web JSON (JWT)
Format standard de jeton d’ID (et souvent de jeton d’accès) utilisé pour représenter en toute sécurité des demandes entre deux parties." cta="Voir le glossaire">JWT</Tooltip> de validation en logiciel libre et sur leurs capacités. Notez qu’une logique supplémentaire peut être nécessaire en fonction de votre cas d’utilisation.

Les développeurs qui utilisent [auth0.net](https://github.com/auth0/auth0.net) et le paquet NuGet associé [Auth0.AuthenticationAPI](https://www.nuget.org/packages/Auth0.AuthenticationApi/) entre les versions `5.8.0` et `6.5.3` incluses doivent passer à la dernière version `6.5.4` pour éviter l’utilisation accidentelle de la classe `IdentityTokenValidator`.

<div id="will-this-update-impact-my-users">
  ### Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?
</div>

Non. Ce correctif corrige la bibliothèque client que votre application exécute, mais n’aura pas d’impact sur vos utilisateurs, leur état actuel ou les sessions existantes.
