> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt
> Use this file to discover all available pages before exploring further.

# CVE-2020-15119：Auth0 Lockライブラリーのセキュリティ更新

> CVE-2020-15119：Auth0 Lockライブラリーのセキュリティ更新

**公開日** ：2020年8月16日

**CVE番号** ：CVE-2020-15119

**著者** ：[Muhamad Visat](https://github.com/mvisat)

<div id="overview">
  ## 概要
</div>

`11.25.1`を含め、それ以前のバージョンでは、パスワードレスまたはエンタープライズ接続で使用する際、`dangerouslySetInnerHTML`を用いて、情報メッセージを表示します。

* パスワードレス接続では、ユーザーが検証コードを入力している間、入力の値（メールまたは電話番号）がユーザーに再度表示されます。
* エンタープライズ接続では、Lockウィジェットが開いた際に、エンタープライズ接続のセットアップ画面（<Tooltip data-tooltip-id="react-containers-DefinitionTooltip-0" href="/docs/ja-JP/ja-jp/glossary?term=auth0-dashboard" tip="Auth0 Dashboard: サービスを構成するためのAuth0の主製品。" cta="用語集の表示">Auth0 Dashboard</Tooltip>）の入力の値（<Tooltip data-tooltip-id="react-containers-DefinitionTooltip-2" href="/docs/ja-JP/ja-jp/glossary?term=idp" tip="IDプロバイダー（IdP）: デジタルIDを保存および管理するサービス。" cta="用語集の表示">IdP</Tooltip>ドメイン）がユーザーに再度表示されます。

パスワードレスまたはエンタープライズ接続が使用されている場合、アプリケーションとそのユーザーは、クロスサイトスクリプティング（XSS）攻撃にさらされる可能性があります。

<div id="am-i-affected">
  ## 自分は影響を受けますか？
</div>

以下の条件がすべて当てはまる場合、この脆弱性によって影響を受けることになります。

* `auth0-lock`を使用している
* パスワードレスまたはエンタープライズ接続モードを使用している

<div id="how-to-fix-that">
  ## 修正方法
</div>

`11.26.3`バージョンにアップグレードしてください。

<div id="will-this-update-impact-my-users">
  ### この更新はユーザーに影響を与えますか？
</div>

パッチで提供される修正はユーザーには影響しません。
