Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-03063

Опубликовано: 05 мая 2022
Источник: fstec
CVSS3: 6.1
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость функции "additional signup fields" инструмента аутентификации Auth0 связана с отсутствием мер по очистке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию

Вендор

Auth0 Inc.

Наименование ПО

Auth0

Версия ПО

до 11.33.0 (Auth0)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/auth0/lock/security/advisories/GHSA-7ww6-75fj-jcj7
https://github.com/auth0/lock/commit/79ae557d331274b114848150f19832ae341771b1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 43%
0.00207
Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-29172

CVSS3: 6.1
nvd
почти 4 года назад

Auth0 is an authentication broker that supports both social and enterprise identity providers, including Active Directory, LDAP, Google Apps, and Salesforce. In versions before `11.33.0`, when the “additional signup fields” feature [is configured](https://github.com/auth0/lock#additional-sign-up-fields), a malicious actor can inject invalidated HTML code into these additional fields, which is then stored in the service `user_metdata` payload (using the `name` property). Verification emails, when applicable, are generated using this metadata. It is therefor possible for an actor to craft a malicious link by injecting HTML, which is then rendered as the recipient's name within the delivered email template. You are impacted by this vulnerability if you are using `auth0-lock` version `11.32.2` or lower and are using the “additional signup fields” feature in your application. Upgrade to version `11.33.0`.

github логотип

GHSA-7ww6-75fj-jcj7

CVSS3: 6.1
github
больше 3 лет назад

Cross-site Scripting in Auth0 Lock

EPSS

Процентиль: 43%
0.00207
Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2