点击上方蓝字“Ots安全”一起玩耍
Auth0 是一个身份验证代理,支持社交和企业身份提供商,包括 Active Directory、LDAP、Google Apps 和 Salesforce。在“11.33.0”之前的版本中,“附加注册字段”何时?功能 [已配置]
(https://github.com/auth0/lock#additional-sign-up-fields),恶意行为者可以将无效的 HTML 代码注入这些附加字段,然后将其存储在服务 `user_metdata`有效载荷(使用 `name` 属性)。验证电子邮件(如果适用)是使用此元数据生成的。因此,攻击者有可能通过注入 HTML 来制作恶意链接,然后在交付的电子邮件模板中将其呈现为收件人的姓名。如果您使用的是 `auth0-lock` 版本 `11.32,则会受到此漏洞的影响。2` 或更低,并且正在使用“附加注册字段”?您的应用程序中的功能。升级到版本“11.33.0”。
-
合并来自 GHSA-7ww6-75fj-jcj7 的拉取请求
https://github.com/auth0/lock/commit/79ae557d331274b114848150f19832ae341771b1
-
带有额外注册字段的 HTML 注入
https://github.com/auth0/lock/security/advisories/GHSA-7ww6-75fj-jcj7
-
无
原文始发于微信公众号(Ots安全):Auth0 HTML恶意代码注入
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论