メインコンテンツへスキップ

Documentation Index

Fetch the complete documentation index at: https://auth0-feat-ionic-capacitor-quickstart-modernization.mintlify.app/llms.txt

Use this file to discover all available pages before exploring further.

公開日 :2022年12月21日 CVEメンバー :CVE-2022-23539、CVE-2022-23541、CVE-2022-23540

概要

Auth0は、4つの脆弱性に対処するために、jsonwebtokenライブラリーの新しいメジャーバージョンをリリースしました。 次のセキュリティアドバイザリを確認し、新しいメジャーバージョンにアップグレードすることをお勧めします。
  • 制限のないキータイプを使用すると、レガシーキーの使用につながる可能性があります:CVE-2022-23539
  • キー取得機能の安全でない実装により、RSAからHMACへの改ざん可能な公開/秘密トークンが作成される可能性があります:CVE-2022-23541
  • .verify()の安全でないデフォルトアルゴリズムにより、署名検証のバイパスが可能になるリスクがあります:CVE-2022-23540

自分は影響を受けますか?

構成に依存して、バージョンがjsonwebtoken<=8.5.1を使用している場合、影響を受ける可能性があります。詳細については、各セキュリティアドバイザリを確認してください。

対処方法は?

jsonwebtokenを使用している場合、9.0.0以上のバージョンにアップグレードしてください。いくつか追加の構成が必要かもしれません。詳細については、各セキュリティアドバイザリを確認してください。

この更新はユーザーに影響しますか?

構成とアプリケーションのニーズによりますが、バージョン9.0.0にアップグレードすることにより、ユーザーに影響を与えるかもしれません。詳細については、各セキュリティアドバイザリを確認してください。