CVE-2020-15240：omniauth-auth0 JWT検証に関するセキュリティアップデート

概要
自分は影響を受けますか？
修正方法
この更新はユーザーに影響を与えますか？

公開日 ：2020年10月21日 CVE番号 ：CVE-2020-15240

概要

2.3.0以降のバージョンでは、JWTValidator.verifyメソッドでトークンの署名が不正に検証されます。デフォルトの認可コードフローを使用していない場合にJWTトークンの署名が不正に検証されると、攻撃者が認証や認可を迂回できるようになる可能性があります。

自分は影響を受けますか？

以下の条件がすべて当てはまる場合には、この脆弱性の影響を受けます。

omniauth-auth0を使用している
JWTValidator.verifyメソッドを直接使用しているか、認証にSDKのデフォルトの認可コードフローを使用していない。

修正方法

バージョン2.4.1にアップグレードしてください。

この更新はユーザーに影響を与えますか？

このバージョンで提供される修正はユーザーには影響しません。

CVE 2020-15259：AD/LDAPコネクターのセキュリティ更新

CVE-2020-15125：node-auth0ライブラリーのセキュリティ更新

⌘I