Auth0是最大的身份即服务平台之一，近日被曝存在严重身份验证绕过漏洞(CVE-2018-6873)，攻击者仅需知道用户的user ID或者email地址，就可以登录该用户任何使用Auth0验证的应用。

Auth0平台是做什么的

Auth0公司成立于2013年，总部位于美国华盛顿州的贝尔维尤市。拥有2000多家企业用户、每天管理超过15亿次的登录验证，是最大的身份平台之一。Auth0可以让用户忽略底层基础设施，为移动、网络、本地等应用提供身份验证、授权及单点登录(SSO)功能。Auth0可以在任何地方运行，包括公有云、私有云以及on –prem (预置型存储)等。

CVE-2018-6873漏洞标识

CVE ID：CVE-2018-6873

受影响的版本

Auth0.js 9 & Lock 11 以下版本

不受影响的版本

Auth0.js 9 & Lock 11

解决方案

Auth0官方已经发布通告说明了上述漏洞并且已发布新版本，请受影响的用户尽快按照官方的指导更新升级，进行防护。

不方便升级的用户，可采取以下措施暂时进行防护：

1.对于CVE-2018-6874，用户可以将服务管理面板中的Legacy Lock API flag设置为off，这样会使得跨域验证(cross-domain authentication)失效，但login上的全局登录(Universal Login page)仍然有效。

2.建议可使用多因素身份验证功能(Multifactor authentication)，使用该功能的用户并不会受上述漏洞的影响。