> ## Documentation Index
> Fetch the complete documentation index at: https://docs-dev-fix-docs-5528-php-updates.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# CVE-2017-17068：auth0.jsポップアップコールバック脆弱性に対するセキュリティ更新

> CVE-2017-17068：auth0.jsポップアップコールバック脆弱性に対するセキュリティ更新

**公開日** ：2017年12月4日

**CVE番号** ：CVE-2017-17068

**著者** ：[@AppCheckNG](https://twitter.com/AppCheckNG)

## 概要

[auth0.jsJavaScriptライブラリ](/docs/ja-jp/libraries/auth0js)で脆弱性が特定されており、バージョン`8.12`が影響を受けます。

サイトまたはアプリケーションが`auth0.popup.callback()`でポップアップコールバックページを使用している場合、攻撃者は無制限のCross-originのポストメッセージ要求を利用して、ログインユーザーのトークンにアクセスする可能性があります。悪意のあるWebサイトは、取得したアクセストークンを使用して、ユーザーに代わってサービスを呼び出す可能性があります。

この更新では、オリジン検証を実装することで、メッセージが指定されたドメイン外のページに投稿されることを防ぎ、脆弱性に対応します。ドメインが指定されていない場合は、コールバックページがホストされているドメインのみが許可されます。攻撃者はCross-origin要求エラーを受け取ることになります。

この脆弱性を修正するには、ライブラリのアップグレードが必要です。

## 自分は影響を受けますか？

以下に該当する場合は、この脆弱性の影響を受けます。

* `8.12`より前のバージョンのauth0.jsを使用しています
* コードで`auth0.popup.callback()`を含むポップアップコールバックページを使用しています

## 修正方法

auth0.jsライブラリを使用している開発者は、最新バージョンにアップグレードしてください：`8.12`。

更新されたパッケージはnpmで入手できます。今後の追加のバグ修正を確実に受け取るために、ライブラリのパッチとマイナーレベルの更新が適用されるよう`package.json`ファイルが更新されていることを確認してください。

```javascript lines theme={null}
{
  "dependencies": {
    "auth0-js": "^8.12.0"
  }
}
```

### この更新はユーザーに影響を与えますか？

いいえ。この修正によりアプリケーションが実行するライブラリにパッチが適用されますが、ユーザーとその現在のステータス、既存のセッションには影響はありません。
