公開日 :2020年7月28日 CVE番号 :CVE-2020-15125 著者 :Omar Diab(http://github.com/osdiab)Documentation Index
Fetch the complete documentation index at: https://auth0-feat-ionic-capacitor-quickstart-modernization.mintlify.app/llms.txt
Use this file to discover all available pages before exploring further.
概要
バージョン2.27.0を含む以前のバージョンでは、エラーオブジェクトに含まれる要求オブジェクトからサニタイズすべきキーを特定したブロックリストを使用します。Auth0 への要求が失敗すると、Authorizationヘッダーのキーはサニタイズされず、Authorizationヘッダー値をログに記録してベアラートークンを明らかにできます。
自分は影響を受けますか?
以下の条件がすべて当てはまる場合は、この脆弱性から影響を受けます:- auth0 npmパッケージを使用している。
- Auth0のManagement APIクライアントの資格情報フローを使用することが認可されているマシンツーマシンのアプリケーションを使用している。