Auth0平台身份验证绕过漏洞 (CVE-2018-6873,CVE-2018-6874)
2018-04-10
综述
近日,Auth0被曝出存在严重的身份验证绕过漏洞。该漏洞(CVE-2018-6873)源于Auth0的Legacy Lock API没有对JSON Web Tokens(JWT)的参数做合理的验证,随后可以触发一个CSRF/SXRF漏洞(CVE-2018-6874)。攻击者仅需要知道用户的user ID或者email地址,就可以登录该用户任何使用Auth0验证的应用。
Auth0拥有2000多家企业用户并且每天管理超过15亿次的登录验证,是最大的身份平台之一。目前Auth0已经发布更新修复了该漏洞。
相关链接:
http://securityaffairs.co/wordpress/71175/hacking/auth0-authentication-bypass.html
http://medium.com/@cintainfinita/knocking-down-the-big-door-8e2177f76ea5
受影响的版本
l Auth0.js 9 & Lock 11 以下版本
不受影响的版本
l Auth0.js 9 & Lock 11
解决方案
Auth0官方已经发布通告说明了上述漏洞并且已发布新版本,请受影响的用户尽快按照官方的指导更新升级,进行防护。
不方便升级的用户可以采取以下措施暂时进行防护:
1. 对于CVE-2018-6874,用户可以将服务管理面板中的Legacy Lock API flag设置为off,这样会使得跨域验证(cross-domain authentication)失效,但/login上的全局登录(Universal Login page)仍然有效。
2. 官方推荐使用多因素身份验证功能(Multifactor authentication)使用该功能的用户并不会受上述漏洞的影响。
参考链接:
http://auth0.com/blog/managing-and-mitigating-security-vulnerabilities-at-auth0/
声 明
本安全公告仅用来描述可能存在的安全问题,bbin宝盈集团科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,bbin宝盈集团科技以及安全公告作者不为此承担任何责任。bbin宝盈集团科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经bbin宝盈集团科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。