CVE-2018-6873 | 绿盟科技技术博客

【威胁通告】Auth0平台身份验证绕过漏洞（CVE-2018-6873，CVE-2018-6874）

2018-04-10绿盟科技auth0漏洞, CVE-2018-6873, CVE-2018-6874

近日，Auth0被曝出存在严重的身份验证绕过漏洞。该漏洞（CVE-2018-6873）源于Auth0的Legacy Lock API没有对JSON Web Tokens(JWT)的参数做合理的验证，随后可以触发一个CSRF/SXRF漏洞（CVE-2018-6874）。攻击者仅需要知道用户的user ID或者email地址，就可以登录该用户任何使用Auth0验证的应用。