> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt
> Use this file to discover all available pages before exploring further.

# CVE-2019-20173：Auth0 wp-auth0向けWordPress Pluginのセキュリティ更新

> CVE-2019-20173：Auth0向けWordPress Pluginのセキュリティ更新

**公開日** ：2020年1月31日

**CVE番号** ：CVE-2019-20173

**著者** ：Muhamad Visat

<div id="overview">
  ## 概要
</div>

Auth0の3.11.0、3.11.1、および3.11.2バージョンのWordPress Pluginでは、`wle`クエリパラメーターを適切にサニタイズしません。このため、攻撃者はログインページにクロスサイトスクリプティング（XSS）攻撃を仕掛けることが可能になります。

<div id="am-i-affected">
  ## 自分は影響を受けますか？
</div>

以下の条件がすべて当てはまる場合、この脆弱性によって影響を受けることになります。

* 使用しているWordPress PluginのAuth0のバージョンが3.11.0、3.11.1または3.11.2である
* ［Basic settings（基本設定）］の下にある「Original Login Form on wp-login.php」設定が、以下の2つオプションのいずれかに設定されている。

  * ［Via a link under the Auth0 form（Auth0フォームの下のリンク経由）］（デフォルトオプション）
  * ［When "wle" query parameter is present（"wle"クエリパラメーターがあるとき）］

<div id="how-to-fix-that">
  ## 修正方法
</div>

Auth0のWordPress Pluginを使用している開発者は、3.11.3以降のバージョンにアップグレードする必要があります。

<div id="will-this-update-impact-my-users">
  ## この更新はユーザーに影響を与えますか？
</div>

いいえ。この修正によりアプリケーションが実行するライブラリーにパッチが適用されますが、ユーザーとその現在のステータス、既存のセッションには影響はありません。
