> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt
> Use this file to discover all available pages before exploring further.

# CVE-2020-15084 : Mise à jour de sécurité pour la bibliothèque express-jwt

> CVE-2020-15084 : Mise à jour de sécurité pour la bibliothèque Express-jwt

**Date de publication** : 30 juin 2020

**Numéro CVE** : CVE-2020-15084

**Crédit**: IST Group

<div id="overview">
  ## Présentation
</div>

Dans les versions antérieures (dont 5.3.3), la saisie d’ **algorithmes** n’était pas obligatoire dans la configuration.

Lorsque les **algorithmes** ne sont pas spécifiés dans la configuration, et que l’on utilise jwks-rsa ou d'autres bibliothèques cryptographiques asymétriques, cela peut aboutir à un contournement de l’autorisation.

<div id="am-i-affected">
  ## Cela me concerne-t-il?
</div>

Cette vulnérabilité vous concerne si toutes les conditions suivantes sont réunies :

* vous utilisez express-<Tooltip href="/docs/fr-CA/fr-ca/glossary?term=json-web-token" tip="Jeton Web JSON (JWT)
  Format standard de jeton d’ID (et souvent de jeton d’accès) utilisé pour représenter en toute sécurité des demandes entre deux parties." cta="Voir le glossaire">jwt</Tooltip>, ET
* vous n’avez pas spécifié d’ **algorithmes** dans la configuration de express-jwt, ET
* vous utilisez des bibliothèques comme jwks-rsa en tant que **secret**.

<div id="how-to-fix-that">
  ## Comment résoudre ce problème?
</div>

Spécifiez des **algorithmes** dans la configuration de express-jwt. Voici un exemple d’une configuration appropriée :

```javascript lines theme={null}
const checkJwt = jwt({
  secret: jwksRsa.expressJwtSecret({
    rateLimit: true,
    jwksRequestsPerMinute: 5,
    jwksUri: `https://{DOMAIN}/.well-known/jwks.json`
  }),
  // Validate the audience and the issuer.
  audience: process.env.AUDIENCE,
  issuer: `https://{DOMAIN}/`,
  // restrict allowed algorithms
  algorithms: ['RS256']
});
```

<div id="will-this-update-impact-my-users">
  ## Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?
</div>

Les modifications apportées par le correctif n’affecteront pas vos utilisateurs si vous avez spécifié les algorithmes autorisés. Ce correctif rend désormais les algorithmes obligatoires dans la configuration.
