> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt
> Use this file to discover all available pages before exploring further.

# CVE-2022-24794 : Mise à jour de sécurité pour la bibliothèque Express OpenID Connect

> CVE-2022-24794 : Mise à jour de sécurité pour la bibliothèque Express OpenID Connect

**Date de publication** : 30 mars 2022

**Numéro CVE** : CVE-2022-24794

<div id="overview">
  ### Présentation
</div>

Les utilisateurs du logiciel médiateur `requiresAuth` , que ce soit directement ou via l’option par défaut `authRequired` sont vulnérables à une redirection ouverte lorsque le logiciel médiateur est appliqué à une route de type catch-all.

Si toutes les routes sous `example.com` sont protégées par le logiciel médiateur `requiresAuth` , une visite à `http://example.com//google.com` sera redirigée vers `google.com` après connexion, car l’URL d’origine rapportée par le cadre d’applications Express n’est pas correctement assainie.

<div id="am-i-affected">
  ### Suis-je concerné ?
</div>

Vous êtes concerné par cette vulnérabilité si vous utilisez le logiciel médiateur `requiresAuth` sur une route de type catch-all ou l’option par défaut `authRequired` et si vous utilisez la version `express-openid-connect``<=2.7.1`.

<div id="how-to-fix-that">
  ### Comment résoudre ce problème?
</div>

Faites une mise à jour pour passer à la version `>=2.7.2`

<div id="will-this-update-impact-my-users">
  ### Cette mise à jour aura-t-elle un impact sur mes utilisateurs ?
</div>

Le correctif fourni dans le patch n’affectera pas vos utilisateurs.
