> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt
> Use this file to discover all available pages before exploring further.

# CVE-2018-11537：angular-jwt許可リストのバイパスに関するセキュリティ更新

> CVE-2018-11537：angular-jwt許可リストのバイパスに関するセキュリティ更新

**公開日** ：2018年6月5日

**CVE番号** ：CVE-2018-11537

**著者** ：Stephan Hauser

<div id="overview">
  ## 概要
</div>

[ドメイン許可リスト](https://github.com/auth0/angular-jwt#whitelisting-domains)機能はバイパスされる可能性があります。たとえば、設定が次で初期化された場合：

`jwtInterceptorProvider.whiteListedDomains = ['whitelisted.Example.com'];`

攻撃者は許可リストフィルターを通過するドメイン、`whitelistedXexample.com`をセットアップすることができます。この根本的な原因は、`angular-jwt`が`whiteListedDomains`エントリーを常に正規表現として扱い、`.`区切り文字が任意の文字と一致してしまうことです。

<div id="am-i-affected">
  ## 自分は影響を受けますか？
</div>

以下に該当する場合は、この脆弱性の影響を受けます。

* バージョン`0.1.10`より前のangular-<Tooltip data-tooltip-id="react-containers-DefinitionTooltip-0" href="/docs/ja-JP/ja-jp/glossary?term=json-web-token" tip="JSON Web Token（JWT）: 二者間のクレームを安全に表現するために使用される標準IDトークン形式（および多くの場合、アクセストークン形式）。" cta="用語集の表示">jwt</Tooltip>を使用している
* コードにドメイン許可リストを使用している

<div id="how-to-fix-that">
  ## 修正方法
</div>

angular-jwtライブラリーを使用している開発者は、最新バージョンにアップグレードしてください：`0.1.10`。

更新されたパッケージは[NPM](https://npmjs.com)で入手できます：`npm install angular-jwt@0.1.10`

今後のセキュリティ更新に簡単に対応できるように、ライブラリーのパッチとマイナーレベルの更新が適用されるよう`package.json`ファイルが更新されていることを確認してください。

```javascript lines theme={null}
{
  "dependencies": {
    "angular-jwt": "^0.1.10"
  }
}
```

<div id="will-this-update-impact-my-users">
  ### この更新はユーザーに影響しますか？
</div>

いいえ。この修正によりアプリケーションが実行するライブラリーにパッチが適用されますが、ユーザーとその現在のステータス、既存のセッションには影響はありません。
