Auth0是
最大的身份即服务平台之一,近日被曝存在严重身份验证绕过漏洞(CVE-2018-6873),
攻击者仅需知道用户的user ID或者email地址,就可以登录该用户任何使用Auth0验证的应用。
Auth0平台是做什么的
Auth0公司成立于2013年,总部位于美国华盛顿州的贝尔维尤市。
拥有2000多家企业用户、每天管理超过15亿次的登录验证,是最大的身份平台之一。
Auth0可以让用户忽略底层基础设施,为移动、网络、本地等应用提供身份验证、授权及单点登录(SSO)功能。Auth0可以在任何地方运行,包括公有云、私有云以及on
–prem (预置型存储)等。
CVE-2018-6873漏洞标识
CVE ID:CVE-2018-6873
受影响的版本
Auth0.js 9 & Lock 11 以下版本
不受影响的版本
Auth0.js 9 & Lock 11
解决方案
Auth0官方已经发布通告说明了上述漏洞并且已发布新版本,请受影响的用户尽快按照官方的指导更新升级,进行防护。
不方便升级的用户,可采取以下措施暂时进行防护:
1.对于CVE-2018-6874,用户可以将服务管理面板中的Legacy Lock API
flag设置为off,这样会使得跨域验证(cross-domain authentication)失效,但login上的全局登录(Universal
Login page)仍然有效。
2.建议可使用多因素身份验证功能(Multifactor authentication),使用该功能的用户并不会受上述漏洞的影响。
