> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt
> Use this file to discover all available pages before exploring further.

# CVE-2018-15121：auth0-aspnetおよびauth0-aspnet-owninのセキュリティの脆弱性

> CVE-2018-15121：ASP.NET用の非推奨のAuth0ミドルウェアのセキュリティの脆弱性

**公開日** ：2018年8月6日

**CVE番号** ：CVE-2018-15121

**著者** ：Kévin Chalet

<div id="overview">
  ## 概要
</div>

[auth0-aspnet](https://github.com/auth0/auth0-aspnet)および[auth0-aspnet-ownin](https://github.com/auth0/auth0-aspnet-owin)パッケージのすべてのバージョンには、承認および認証操作中にクライアントアプリケーションがクロスサイトリクエストフォージェリ（CSRF）攻撃に対して脆弱になるセキュリティの脆弱性があります。

この脆弱性の根本的な原因は、<Tooltip data-tooltip-id="react-containers-DefinitionTooltip-1" href="/docs/ja-JP/ja-jp/glossary?term=oath2" tip="OAuth 2.0: 認可プロトコルとワークフローを定義する認可フレームワーク。" cta="用語集の表示">OAuth 2.0</Tooltip>および<Tooltip data-tooltip-id="react-containers-DefinitionTooltip-0" href="/docs/ja-JP/ja-jp/glossary?term=openid" tip="OpenID: アプリケーションがログイン情報を収集および保存することなくにユーザーのIDを検証できるようにする認証用のオープン標準。" cta="用語集の表示">OpenID</Tooltip> Connect (OIDC)プロトコルの`状態`パラメーターの使用と検証が不十分なため、攻撃者が被害者のセッションに認証コードを挿入できることにあります。

<div id="am-i-affected">
  ## 自分は影響を受けますか？
</div>

`auth0-aspnet`または`auth0-aspnet-ownin`のいずれかのバージョンを使用している場合、この脆弱性の影響を受けます。

<div id="how-to-fix-that">
  ## 修正方法
</div>

[auth0-aspnet](https://github.com/auth0/auth0-aspnet)および[auth0-aspnet-ownin](https://github.com/auth0/auth0-aspnet-owin)パッケージのさらなる開発は中止されました。脆弱性のないOWIN 4 および公式の`Microsoft.Owin.Security.OpenIdConnect`パッケージに移行することを強くお勧めします。

アプリケーションが現在OWINを使用していない場合は、Microsoftの[OWINドキュメント](https://docs.microsoft.com/en-us/aspnet/aspnet/overview/owin-and-katana/)を参照して、アプリケーションでこれを有効にしてください。

<div id="will-this-update-impact-my-users">
  ### この更新はユーザーに影響を与えますか？
</div>

別のライブラリが認証を処理するため、現在のユーザー状態とセッションは無効になります。
