综述

    近日，Auth0被曝出存在严重的身份验证绕过漏洞。该漏洞（CVE-2018-6873）源于Auth0的Legacy Lock API没有对JSON Web Tokens(JWT)的参数做合理的验证，随后可以触发一个CSRF/SXRF漏洞（CVE-2018-6874）。攻击者仅需要知道用户的user ID或者email地址，就可以登录该用户任何使用Auth0验证的应用。

    Auth0拥有2000多家企业用户并且每天管理超过15亿次的登录验证，是最大的身份平台之一。目前Auth0已经发布更新修复了该漏洞。

相关链接：

https://securityaffairs.co/wordpress/71175/hacking/auth0-authentication-bypass.html

https://medium.com/@cintainfinita/knocking-down-the-big-door-8e2177f76ea5

受影响的版本

l  Auth0.js 9 & Lock 11 以下版本

不受影响的版本

l  Auth0.js 9 & Lock 11

解决方案

Auth0官方已经发布通告说明了上述漏洞并且已发布新版本，请受影响的用户尽快按照官方的指导更新升级，进行防护。

不方便升级的用户可以采取以下措施暂时进行防护：

1.  对于CVE-2018-6874，用户可以将服务管理面板中的Legacy Lock API flag设置为off，这样会使得跨域验证（cross-domain authentication）失效，但/login上的全局登录（Universal Login page）仍然有效。

2.  官方推荐使用多因素身份验证功能（Multifactor authentication）使用该功能的用户并不会受上述漏洞的影响。

参考链接：

https://auth0.com/blog/managing-and-mitigating-security-vulnerabilities-at-auth0/