> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt
> Use this file to discover all available pages before exploring further.

# CVE-2019-7644：Auth0-WCF-Service-JWTのセキュリティ脆弱性

> CVE-2019-7644：ASP.NETにおけるAuth0-WCF-Service-JWTのセキュリティ脆弱性

**公開日** ：2019年2月15日

**CVE番号** ：CVE-2019-7644

**著者** ：Conny Dahlgren、DevilSec AB セキュリティリサーチャー

<div id="overview">
  ## 概要
</div>

[Auth0-WCF-Service-JWT](https://www.nuget.org/packages/Auth0-WCF-Service-JWT/)のNuGetパッケージで1.0.4未満のすべてのバージョンでは、<Tooltip data-tooltip-id="react-containers-DefinitionTooltip-3" href="/docs/ja-JP/ja-jp/glossary?term=json-web-token" tip="JSON Web Token（JWT）: 二者間のクレームを安全に表現するために使用される標準IDトークン形式（および多くの場合、アクセストークン形式）。" cta="用語集の表示">JWT</Tooltip>署名の検証が失敗したときに出力されるエラーメッセージに、期待されるJWT署名に関する機密情報が含まれます。

`Invalid signature.Expected 8Qh5lJ5gSaQylkSdaCIDBoOqKzhoJ0Nutkkap8RgB1Y= got 8Qh5lJ5gSaQylkSdaCIDBoOqKzhoJ0Nutkkap8RgBOo=`

この脆弱性により、攻撃者はこのエラーメッセージを使用して任意のJWTトークンの有効な署名を取得できます。そうして、攻撃者はトークンを偽造して認証および認可メカニズムを迂回できます。

<div id="am-i-affected">
  ## 自分は影響を受けますか？
</div>

以下の条件に該当する場合、この脆弱性の影響を受けます。

* [Auth0-WCF-Service-JWT](https://www.nuget.org/packages/Auth0-WCF-Service-JWT/)のNuGetパッケージで、バージョン1.0.4未満を使用している
* ユーザーインターフェースに署名検証の例外メッセージを表示するか、または攻撃者がそれを利用できるようにしている（たとえば、ログや診断メッセージなどを通じて取得できる）

<div id="how-to-fix-that">
  ## 修正方法
</div>

[Auth0-WCF-Service-JWT](https://www.nuget.org/packages/Auth0-WCF-Service-JWT/)ライブラリーを使用している開発者は、最新バージョンである1.0.4にアップグレードしてください。

最新のパッケージは[NuGet](https://www.nuget.org)で取得できます：`Install-Package Auth0-WCF-Service-JWT -Version 1.0.4`

<div id="will-this-update-impact-my-users">
  ### この更新はユーザーに影響を与えますか？
</div>

いいえ。この修正によりアプリケーションが実行するライブラリーにパッチが適用されますが、ユーザーとその現在のステータス、既存のセッションには影響はありません。
