CVE-2021-32702 : Mise à jour de la sécurité pour la bibliothèque Auth0 Next.js

Présentation
Suis-je concerné?
Comment résoudre ce problème?
Cette mise à jour aura-t-elle un impact sur mes utilisateurs?
Crédit

Date de publication : 23 juin 2021 Numéro CVE : CVE-2021-32702

Présentation

Les versions antérieures (version 1.4.1 incluse) sont vulnérables aux XSS réfléchis. Un attaquant peut exécuter du code arbitraire en fournissant une charge utile XSS dans le paramètre de requête error qui est ensuite traité par le gestionnaire de rappel comme un message d’erreur.

Suis-je concerné?

Vous êtes concerné par cette vulnérabilité si vous utilisez @auth0/nextjs-auth0 version 1.4.1 ou précédente sauf si vous utilisez une gestion des erreurs personnalisée qui ne renvoie pas le message d’erreur dans une réponse HTML.

Comment résoudre ce problème?

Mettez à niveau vers la version 1.4.2.

Cette mise à jour aura-t-elle un impact sur mes utilisateurs?

Le correctif ajoute un échappement HTML de base au message d’erreur et ne devrait pas avoir d’impact sur vos utilisateurs.

Crédit

https://github.com/inian

CVE-2021-41246 : Mise à jour de sécurité pour la bibliothèque Express OpenID Connect

CVE-2021-32641 : mise à jour de sécurité pour la bibliothèque Auth0 Lock

Protégez votre Application

Appeler des API au nom de l’utilisateur

Protéger votre tenant

Conformité

CVE-2021-32702 : Mise à jour de la sécurité pour la bibliothèque Auth0 Next.js

Présentation

Suis-je concerné?

Comment résoudre ce problème?

Cette mise à jour aura-t-elle un impact sur mes utilisateurs?

Crédit

Protégez votre Application

Appeler des API au nom de l’utilisateur

Protéger votre tenant

Conformité

​Présentation

​Suis-je concerné?

​Comment résoudre ce problème?

​Cette mise à jour aura-t-elle un impact sur mes utilisateurs?

​Crédit

Présentation

Suis-je concerné?

Comment résoudre ce problème?

Cette mise à jour aura-t-elle un impact sur mes utilisateurs?

Crédit