> ## Documentation Index
> Fetch the complete documentation index at: https://docs-dev-fix-docs-5528-php-updates.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# CVE-2019-16929 : Vulnérabilité de sécurité dans auth0.net

> CVE-2019-16929 : Vulnérabilité de sécurité dans auth0.net

**Date de publication** : 3 octobre 2019

**Numéro CVE** : CVE-2019-16929

**Crédit** : Dennis Detering (Spike Reply GmbH)

## Présentation

Les versions d’[auth0.net](https://github.com/auth0/auth0.net) et du paquet NuGet associé[Auth0.AuthenticationAPI](https://www.nuget.org/packages/Auth0.AuthenticationApi/) de `5.8.0` à `6.5.3` incluses comprennent une classe nommée `IdentityTokenValidator` avec une méthode publique `ValidateAsync`, qui effectue une validation limitée adaptée uniquement aux jetons émis par Auth0.

## Cela me concerne-t-il?

Vous êtes concerné par cette vulnérabilité si toutes les conditions suivantes s’appliquent :

* Vous utilisez `IdentityTokenValidator` pour valider des jetons d’ID non approuvés.
* Vous utilisez une version d’Auth0.AuthenticationAPI comprise entre les versions `5.8.0` et `6.5.3` incluses.

## Comment résoudre ce problème?

Les développeurs ne doivent pas utiliser la classe `IdentityTokenValidator` pour valider des jetons d’ID non approuvés. Consultez [Valider les jetons d’ID](/docs/fr-ca/secure/tokens/id-tokens/validate-id-tokens) pour connaître nos recommandations sur la validation des jetons d’ID. [https://jwt.io/](https://jwt.io/) est une bonne ressource sur les bibliothèques <Tooltip href="/docs/fr-ca/glossary?term=json-web-token" tip="Jeton Web JSON (JWT)
Format standard de jeton d’ID (et souvent de jeton d’accès) utilisé pour représenter en toute sécurité des demandes entre deux parties." cta="Voir le glossaire">JWT</Tooltip> de validation en logiciel libre et sur leurs capacités. Notez qu’une logique supplémentaire peut être nécessaire en fonction de votre cas d’utilisation.

Les développeurs qui utilisent [auth0.net](https://github.com/auth0/auth0.net) et le paquet NuGet associé [Auth0.AuthenticationAPI](https://www.nuget.org/packages/Auth0.AuthenticationApi/) entre les versions `5.8.0` et `6.5.3` incluses doivent passer à la dernière version `6.5.4` pour éviter l’utilisation accidentelle de la classe `IdentityTokenValidator`.

### Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Non. Ce correctif corrige la bibliothèque client que votre application exécute, mais n’aura pas d’impact sur vos utilisateurs, leur état actuel ou les sessions existantes.
