メインコンテンツへスキップ
公開日 :2018年8月6日 CVE番号 :CVE-2018-15121 著者 :Kévin Chalet

概要

auth0-aspnetおよびauth0-aspnet-owninパッケージのすべてのバージョンには、承認および認証操作中にクライアントアプリケーションがクロスサイトリクエストフォージェリ(CSRF)攻撃に対して脆弱になるセキュリティの脆弱性があります。 この脆弱性の根本的な原因は、および Connect (OIDC)プロトコルの状態パラメーターの使用と検証が不十分なため、攻撃者が被害者のセッションに認証コードを挿入できることにあります。

自分は影響を受けますか?

auth0-aspnetまたはauth0-aspnet-owninのいずれかのバージョンを使用している場合、この脆弱性の影響を受けます。

修正方法

auth0-aspnetおよびauth0-aspnet-owninパッケージのさらなる開発は中止されました。脆弱性のないOWIN 4 および公式のMicrosoft.Owin.Security.OpenIdConnectパッケージに移行することを強くお勧めします。 アプリケーションが現在OWINを使用していない場合は、MicrosoftのOWINドキュメントを参照して、アプリケーションでこれを有効にしてください。

この更新はユーザーに影響を与えますか?

別のライブラリが認証を処理するため、現在のユーザー状態とセッションは無効になります。