メインコンテンツへスキップ
公開日 :2020年7月28日 CVE番号 :CVE-2020-15125 著者 :Omar Diab(http://github.com/osdiab)

概要

バージョン2.27.0を含む以前のバージョンでは、エラーオブジェクトに含まれる要求オブジェクトからサニタイズすべきキーを特定したブロックリストを使用します。Auth0 への要求が失敗すると、Authorizationヘッダーのキーはサニタイズされず、Authorizationヘッダー値をログに記録してベアラートークンを明らかにできます。

自分は影響を受けますか?

以下の条件がすべて当てはまる場合は、この脆弱性から影響を受けます:
  • auth0 npmパッケージを使用している。
  • Auth0のManagement APIクライアントの資格情報フローを使用することが認可されているマシンツーマシンのアプリケーションを使用している。

修正方法

バージョン2.27.1にアップグレードしてください。

この更新はユーザーに影響を与えますか?

パッチで提供される修正はユーザーには影響しません。