CVE-2022-24794 : Mise à jour de sécurité pour la bibliothèque Express OpenID Connect

Date de publication : 30 mars 2022 Numéro CVE : CVE-2022-24794

Présentation

Les utilisateurs du logiciel médiateur requiresAuth , que ce soit directement ou via l’option par défaut authRequired sont vulnérables à une redirection ouverte lorsque le logiciel médiateur est appliqué à une route de type catch-all. Si toutes les routes sous example.com sont protégées par le logiciel médiateur requiresAuth , une visite à http://example.com//google.com sera redirigée vers google.com après connexion, car l’URL d’origine rapportée par le cadre d’applications Express n’est pas correctement assainie.

Suis-je concerné ?

Vous êtes concerné par cette vulnérabilité si vous utilisez le logiciel médiateur requiresAuth sur une route de type catch-all ou l’option par défaut authRequired et si vous utilisez la version express-openid-connect``<=2.7.1.

Comment résoudre ce problème?

Faites une mise à jour pour passer à la version >=2.7.2

Cette mise à jour aura-t-elle un impact sur mes utilisateurs ?

Le correctif fourni dans le patch n’affectera pas vos utilisateurs.

Protégez votre Application

Appeler des API au nom de l’utilisateur

Protéger votre tenant

Conformité

CVE-2022-24794 : Mise à jour de sécurité pour la bibliothèque Express OpenID Connect

Présentation

Suis-je concerné ?

Comment résoudre ce problème?

Cette mise à jour aura-t-elle un impact sur mes utilisateurs ?

Protégez votre Application

Appeler des API au nom de l’utilisateur

Protéger votre tenant

Conformité

​Présentation

​Suis-je concerné ?

​Comment résoudre ce problème?

​Cette mise à jour aura-t-elle un impact sur mes utilisateurs ?

Présentation

Suis-je concerné ?

Comment résoudre ce problème?

Cette mise à jour aura-t-elle un impact sur mes utilisateurs ?