Auth0曝严重漏洞CVE-2018-687374,企业遭受攻击
Auth0是最大的身份即服务平台之一,近日被曝存在严重身份验证绕过漏洞(CVE-2018-6873),攻击者仅需知道用户的user ID或者email地址,就可以登录该用户任何使用Auth0验证的应用。
Auth0平台是做什么的
Auth0公司成立于2013年,总部位于美国华盛顿州的贝尔维尤市。拥有2000多家企业用户、每天管理超过15亿次的登录验证,是最大的身份平台之一。Auth0可以让用户忽略底层基础设施,为移动、网络、本地等应用提供身份验证、授权及单点登录(SSO)功能。Auth0可以在任何地方运行,包括公有云、私有云以及on –prem (预置型存储)等。
CVE-2018-6873漏洞标识
CVE ID:CVE-2018-6873
受影响的版本
Auth0.js 9 & Lock 11 以下版本
不受影响的版本
Auth0.js 9 & Lock 11
解决方案
Auth0官方已经发布通告说明了上述漏洞并且已发布新版本,请受影响的用户尽快按照官方的指导更新升级,进行防护。
不方便升级的用户,可采取以下措施暂时进行防护:
1.对于CVE-2018-6874,用户可以将服务管理面板中的Legacy Lock API flag设置为off,这样会使得跨域验证(cross-domain authentication)失效,但login上的全局登录(Universal Login page)仍然有效。
2.建议可使用多因素身份验证功能(Multifactor authentication),使用该功能的用户并不会受上述漏洞的影响。
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐