概要
自分は影響を受けますか?
- バージョン8.0.0から9.13.1までの(両バージョンを含む)Auth0.jsを使用している。
- エラーオブジェクトにフィルターをかけずに保存または表示している。
CVE-2020-5263:auth0.jsライブラリーのセキュリティアップデート
CVE-2020-5263:auth0.jsライブラリーのセキュリティアップデート
公開日 :2020年4月9日
CVE番号 :CVE-2020-5263
著者 :Bogdan Vitoc(Spatial Systems Inc)
バージョン8.0.0から9.13.1(両バージョンを含む)では、(認証)エラーが発生した場合、ライブラリーによって返されるエラーオブジェクトにはユーザーの元の要求が含まれおり、これにはユーザーが入力したパスワードが平文で含まれている場合があります。
エラーオブジェクトが変更されることなく公開またはログに記録されると、アプリケーションでパスワードが漏洩する危険があります。
以下の条件がすべて当てはまる場合には、この脆弱性の影響を受けます。
エラー時にユーザーが入力したパスワードがマスクされるバージョン9.13.2以降にauth0.jsをアップグレードする必要があります。アップグレードができない場合は、一時的な修正として、エラーオブジェクトを変更せずに保存または公開しないことで対応します。
このAuth0.js修正パッチを実行すると、エラーオブジェクトでパスワードが使用できなくなるため、アプリケーションコードの変更が必要になる可能性がありますが、ユーザー、ユーザーの現在の状態、または既存のセッションには影響しません。