Auth0-PHP — это PHP SDK для API аутентификации и управления Auth0. Начиная с версии 8.0.0 и до версии 8.19.0 в приложениях, созданных с помощью PHP SDK Auth0, файлы cookie шифруются с недостаточной энтропией, что может привести к тому, что злоумышленники подберут ключ шифрования и подделают файлы cookie сеанса. Эта проблема исправлена в версии 8.19.0.
Показать оригинальное описание (EN)
Auth0-PHP is a PHP SDK for Auth0 Authentication and Management APIs. From version 8.0.0 to before version 8.19.0, in applications built with the Auth0 PHP SDK, cookies are encrypted with insufficient entropy, which may result in threat actors brute-forcing the encryption key and forging session cookies. This issue has been patched in version 8.19.0.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Auth0 Auth0-Php
cpe:2.3:a:auth0:auth0-php:*:*:*:*:*:*:*:*
|
8.0.0
|
8.19.0
|