CVE-2018-15121：auth0-aspnetおよびauth0-aspnet-owninのセキュリティの脆弱性

公開日 ：2018年8月6日 CVE番号 ：CVE-2018-15121 著者：Kévin Chalet

概要

auth0-aspnetおよびauth0-aspnet-owninパッケージのすべてのバージョンには、承認および認証操作中にクライアントアプリケーションがクロスサイトリクエストフォージェリ（CSRF）攻撃に対して脆弱になるセキュリティの脆弱性があります。この脆弱性の根本的な原因は、および Connect (OIDC)プロトコルの状態パラメーターの使用と検証が不十分なため、攻撃者が被害者のセッションに認証コードを挿入できることにあります。

自分は影響を受けますか？

auth0-aspnetまたはauth0-aspnet-owninのいずれかのバージョンを使用している場合、この脆弱性の影響を受けます。

修正方法

auth0-aspnetおよびauth0-aspnet-owninパッケージのさらなる開発は中止されました。脆弱性のないOWIN 4 および公式のMicrosoft.Owin.Security.OpenIdConnectパッケージに移行することを強くお勧めします。アプリケーションが現在OWINを使用していない場合は、MicrosoftのOWINドキュメントを参照して、アプリケーションでこれを有効にしてください。

この更新はユーザーに影響を与えますか？

別のライブラリが認証を処理するため、現在のユーザー状態とセッションは無効になります。

CVE-2019-20173：Auth0 wp-auth0向けWordPress Pluginのセキュリティ更新

CVE-2018-11537：angular-jwt許可リストのバイパスに関するセキュリティ更新