点击上方蓝字“Ots安全”一起玩耍
Auth0 是一个身份验证代理,支持社交和企业身份提供商,包括 Active Directory、LDAP、Google Apps 和 Salesforce。在“11.33.0”之前的版本中,“附加注册字段”何时?功能 [已配置]
(https://github.com/auth0/lock#additional-sign-up-fields),恶意行为者可以将无效的 HTML 代码注入这些附加字段,然后将其存储在服务 `user_metdata`有效载荷(使用 `name` 属性)。验证电子邮件(如果适用)是使用此元数据生成的。因此,攻击者有可能通过注入 HTML 来制作恶意链接,然后在交付的电子邮件模板中将其呈现为收件人的姓名。如果您使用的是 `auth0-lock` 版本 `11.32,则会受到此漏洞的影响。2` 或更低,并且正在使用“附加注册字段”?您的应用程序中的功能。升级到版本“11.33.0”。
-
合并来自 GHSA-7ww6-75fj-jcj7 的拉取请求
https://github.com/auth0/lock/commit/79ae557d331274b114848150f19832ae341771b1
-
带有额外注册字段的 HTML 注入
https://github.com/auth0/lock/security/advisories/GHSA-7ww6-75fj-jcj7
-
无
原文始发于微信公众号(Ots安全):Auth0 HTML恶意代码注入
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论