> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt
> Use this file to discover all available pages before exploring further.

# CVE-2022-24794：Express OpenID Connectライブラリーのセキュリティ更新

> CVE-2022-24794：Express OpenID Connectライブラリーのセキュリティ更新

**公開日** ：2022年3月30日

**CVE番号** ：CVE-2022-24794

<div id="overview">
  ### 概要
</div>

`requiresAuth`ミドルウェアを直接またはデフォルトの`authRequired`オプションで使用しているユーザーは、ミドルウェアがキャッチオールルートに適用されている場合、オープンリダイレクト攻撃に対し脆弱になります。

`example.com`にあるすべてのルートが`requiresAuth`ミドルウェアによって保護されている場合には、ログイン後に`http://example.com//google.com`を開くと`google.com`にリダイレクトされます。これは、Expressフレームワークによって報告された元のURLが正しくサニタイズされていないためです。

<div id="am-i-affected">
  ### 自分は影響を受けますか？
</div>

`requiresAuth`ミドルウェアをキャッチオールルートまたはデフォルトの`authRequired`オプションで使用していて、`express-openid-connect`のバージョンが`2.7.1`以前の場合には影響を受けます。

<div id="how-to-fix-that">
  ### 修正方法
</div>

バージョン`2.7.2`以降にアップグレードしてください。

<div id="will-this-update-impact-my-users">
  ### この更新はユーザーに影響を与えますか？
</div>

パッチで提供される修正はユーザーには影響しません。
