> ## Documentation Index
> Fetch the complete documentation index at: https://docs-dev-fix-docs-5528-php-updates.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# CVE-2019-16929：auth0.netに関するセキュリティ脆弱性

> CVE-2019-16929：auth0.netに関するセキュリティ脆弱性

**公開日** ：2019年10月03日

**CVE番号** ：CVE-2019-16929

**著者** ：Dennis Detering (Spike Reply GmbH)

## 概要

[auth0.net](https://github.com/auth0/auth0.net)のバージョンとそれに関連付けられているNuGetパッケージの[Auth0.AuthenticationAPI](https://www.nuget.org/packages/Auth0.AuthenticationApi/)`5.8.0`から`6.5.3`までには公開の`ValidateAsync`メソッドを使用する`IdentityTokenValidator`という名前のクラスが含まれますが、これが行う検証はわずかで、Auth0発行のトークンにのみ適しています。

## 自分は影響を受けますか？

以下の条件がすべて当てはまる場合には、この脆弱性の影響を受けます。

* `IdentityTokenValidator`を使用して、信頼できないIDトークンを検証している
* 使用しているAuth0.AuthenticationAPIのバージョンが`5.8.0`から`6.5.3`までに該当する

## 修正方法

開発者は、`IdentityTokenValidator`クラスを使って、信頼できないIDトークンを検証しないようにします。IDトークンの検証に関する推奨については、「[IDトークンを検証する](/docs/ja-jp/secure/tokens/id-tokens/validate-id-tokens)」を参照してください。[https://jwt.io/](https://jwt.io/)はオープンソースの<Tooltip data-tooltip-id="react-containers-DefinitionTooltip-3" href="/docs/ja-jp/glossary?term=json-web-token" tip="JSON Web Token（JWT）: 二者間のクレームを安全に表現するために使用される標準IDトークン形式（および多くの場合、アクセストークン形式）。" cta="用語集の表示">JWT</Tooltip>検証ライブラリーとその機能について、優れたリソースを提供しています。ユースケースによっては、追加のロジックが必要かもしれないことに注意してください。

開発者が[auth0.net](https://github.com/auth0/auth0.net)とそれに関連付けられているNuGetパッケージの[Auth0.AuthenticationAPI](https://www.nuget.org/packages/Auth0.AuthenticationApi/)`5.8.0`から`6.5.3`までを使用している場合には、最新のバージョン`6.5.4`にアップグレードし、`IdentityTokenValidator`クラスが誤って使用されないようにします。

### この更新はユーザーに影響を与えますか？

いいえ。この修正はアプリケーションが実行するクライアントライブラリーにパッチを適用しますが、ユーザーとその現在のステータス、既存のセッションには影響を与えません。
