Vulnerabilidad en el caso de un error de (autenticación) en auth0.js (CVE-2020-5263)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-522 Credenciales insuficientemente protegidas

Fecha de publicación:

09/04/2020

Última modificación:

10/04/2020

Descripción

auth0.js (paquete NPM auth0-js) versiones superiores a 8.0.0 y versiones anteriores 9.12.3, presenta una vulnerabilidad. En el caso de un error de (autenticación), el objeto del error devuelto por la biblioteca contiene la petición original del usuario, que puede incluir la contraseña de texto plano que ingresó el usuario. Si el objeto de error se expone o registra sin modificación, la aplicación corre el riesgo de exponer la contraseña. Esto es corregido en la versión 9.12.3

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.90 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

4.90

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:S/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.00 MEDIA
Vector: AV:N/AC:L/Au:S/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno