> ## Documentation Index
> Fetch the complete documentation index at: https://docs-dev-fix-docs-5528-php-updates.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# CVE-2019-7644 : Vulnérabilité de sécurité dans Auth0-WCF-Service-JWT

> CVE-2019-7644 : Vulnérabilité de sécurité dans Auth0-WCF-Service-JWT pour ASP.NET

**Date de publication**: 15 février 2019

**Numéro CV**: CVE-2019-7644

**Crédit**: Conny Dahlgren, chercheur en sécurité chez DevilSec AB

## Présentation

Toutes les versions du paquet NuGet [Auth0-WCF-Service-JWT](https://www.nuget.org/packages/Auth0-WCF-Service-JWT/) inférieures à la version 1.0.4 contiennent des informations sensibles sur la signature <Tooltip href="/docs/fr-ca/glossary?term=json-web-token" tip="Jeton Web JSON (JWT)
Format standard de jeton d’ID (et souvent de jeton d’accès) utilisé pour représenter en toute sécurité des demandes entre deux parties." cta="Voir le glossaire">JWT</Tooltip> attendue dans un message d'erreur émis lorsque la validation de la signature JWT échoue :

`Invalid signature. Expected 8Qh5lJ5gSaQylkSdaCIDBoOqKzhoJ0Nutkkap8RgB1Y= got 8Qh5lJ5gSaQylkSdaCIDBoOqKzhoJ0Nutkkap8RgBOo=`

Cette vulnérabilité permet aux attaquants d'utiliser ce message d'erreur pour obtenir une signature valide pour des jetons JWT arbitraires. De cette manière, les attaquants peuvent falsifier les jetons pour contourner les mécanismes d'authentification et d'autorisation.

## Cela me concerne-t-il?

Vous êtes concerné par cette vulnérabilité si les conditions suivantes sont réunies :

* Vous utilisez une version du paquet NuGet [Auth0-WCF-Service-JWT](https://www.nuget.org/packages/Auth0-WCF-Service-JWT/) inférieure à 1.0.4
* Vous affichez un message d'exception de vérification de signature dans l'interface utilisateur ou vous le rendez accessible à l'attaquant (par exemple à travers les journaux ou les messages de diagnostic).

## Comment résoudre ce problème?

Les développeurs qui utilisent la bibliothèque [Auth0-WCF-Service-JWT](https://www.nuget.org/packages/Auth0-WCF-Service-JWT/) doivent passer à la dernière version 1.0.4.

Le paquet mis à jour est disponible sur [NuGet](https://www.nuget.org) : `Install-Package Auth0-WCF-Service-JWT -Version 1.0.4`

### Cette mise à jour aura-t-elle des répercussions sur mes utilisateurs?

Non. Ce correctif corrige la bibliothèque que votre application exécute, mais n’aura pas d’impact sur vos utilisateurs, leur état actuel ou les sessions existantes.
