Une vulnérabilité critique a été identifiée et corrigée dans le service d'authentification Auth0

Auth0, un acteur majeur des plateformes Identity as a Service, était affecté par une vulnérabilité de contournement d'authentification critique. L'exploitation de cette vulnérabilité permettait à des attaquants d'accéder à n'importe quel portail ou application web utilisant ce service pour l'authentification.

La vulnérabilité était liée à un défaut de validation d'un paramètre JSON Web Tokens (JWT). Les attaquants pouvaient exploiter cette CSRF pour réutiliser un jeton JWT valide signé afin d'accéder au compte de la cible. Pour ce, les attaquants avaient seulement besoin de l'identifiant ou l'adresse email de leur cible.

Informations
+

Impact

  • Contournement de l'authentification.

Criticité

  • CVSS v3 : en cours d'analyse.

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Service d'authentification Auth0 avant le 15 Octobre 2017.

CVE

  • CVE-2018-6873

Recommandations
+

Correctifs

  • La vulnérabilité a été corrigée lors de la mise à jour du 15 octobre 2017. Aucune action supplémentaire n'est requise.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.