Documentation Index
Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt
Use this file to discover all available pages before exploring further.
公開日:2020年6月30日
CVE番号:CVE-2020-15084
著者:ISTグループ
5.3.3以前のバージョンでは、構成内で指定するアルゴリズムの入力は義務化されていません。
構成内で、アルゴリズムが指定されていない場合、jwks-rsaやその他可能性がある非対称暗号ライブラリーと組み合わせると、認可バイパスにつながりかねません。
以下の条件がすべて当てはまる場合、この脆弱性によって影響を受けることになります。
- Express-を使用しており、
- Express-jwt構成内で、アルゴリズムが構成されておらず、
- jwks-rsaをシークレットとして使用している。
Express-jwt構成内で、アルゴリズムを指定します。以下で、適切な構成例を紹介します。
const checkJwt = jwt({
secret: jwksRsa.expressJwtSecret({
rateLimit: true,
jwksRequestsPerMinute: 5,
jwksUri: `https://{DOMAIN}/.well-known/jwks.json`
}),
// Validate the audience and the issuer.
audience: process.env.AUDIENCE,
issuer: `https://{DOMAIN}/`,
// restrict allowed algorithms
algorithms: ['RS256']
});
