2019年7月31日05:11 UTC，Innomist Security在为我们的一个客户执行渗透测试时，负责任地向Auth0披露了一个JWT验证旁路问题。我们的代码库的一个旧的、稳定的版本的一个单独的路径没有使用我们的标准基线JWT实现，它允许不区分大小写的JWS算法匹配"无符号"验证器。这影响了我们的一小部分端点。在收到披露后，我们在数小时内就在公共云上修复了该漏洞，并通过日志记录验证了该漏洞未被任何方式利用。我们没有看到任何迹象表明该漏洞是在野外被发现或利用的，51返利，也没有记录到有人试图滥用该漏洞。我们与失眠安全部密切合作，立即纠正这个问题。正如他们所说："Auth0的公共平台很快就被修补了，随着时间的推移，他们在自己的私有平台上推出了补丁。总的来说，Auth0的反应迅速而愉快。他们很快就解决了这个问题，并对脆弱性报告表示赞赏。"我们在公共库中非常小心，这样我们的客户或库用户的代码中就不会出现这样的漏洞。不幸的是，对于这个特定的代码路径，我们没有依赖于我们自己的模块，请放心，我们现在是这样做的。自本次披露以来，我们：与Auth0工程和产品安全部进行了一次详尽的练习，以查看我们的库。启动了缺陷奖励计划，以加快对现有漏洞的识别和修复。透明度是我们的核心价值之一，并渗透到整个公司，包括我们就问题进行沟通的方式。我们感谢广大安全团体的持续反馈，以确保我们为全球客户提供最安全的平台。时间轴2019年7月31日05:11-失眠研究人员向安全团队发送UTC电子邮件7月31日08:30 UTC-Auth0 IR团队创建的安全事件频道7月31日13:18 UTC-已确认漏洞并开始修复7月31日21:34 UTC-Fix部署到我们的稳定环境7月31日22:45 UTC-由Auth0安全团队验证修复7月31日23:00 UTC-Fix已在生产和安全研究人员验证Auth0文档在几分钟内实现身份验证.灯箱{宽度：100%；高度：100%；位置：固定；顶部：0；左：0；背景：rgba（0，0，0，0.85）；z-指数：9999999；线高：0；光标：指针；}.灯箱图像{光标：指针；余量：0自动；显示：块；}.灯箱图像{职位：亲属；顶部：50%；左：50%；-ms转换：translateX（-50%）translateY（-50%）；-webkit转换：翻译（-50%，-50%）；转换：平移（-50%，物联网是什么意思，-50%）；最大宽度：100%；最大高度：100%；}@媒体屏幕和（最小宽度：1200像素）{.灯箱图像{最大宽度：1200px；}}@媒体屏幕和（最小高度：1200像素）{.灯箱图像{最大高度：1200px；}}.灯箱跨度{显示：块；位置：固定；底部：13px；高度：1.5em；线路高度：1.4em；宽度：100%；文本对齐：居中；颜色：白色；文本阴影：-1px-1px 0#000，1px-1px 0#000，-1px 1px 0#000，1件1件0万件；字体系列："fakt web"，"Helvetica Neue"，Hevetica，sans serif；字号：18px；}.lightbox.videowrapper容器{职位：亲属；顶部：50%；左：50%；-ms转换：translateX（-50%）translateY（-50%）；-webkit转换：翻译（-50%，物联网展会，-50%）；转换：平移（-50%，-50%）；最大宽度：900px；最大高度：100%；}.lightbox.videoWrapperContainer.videoWrapper容器{高度：0；线高：0；余量：0；填充：0；职位：亲属；填充底部：56.333%；/*自定义*/背景：黑色；}.lightbox.videoWrapper iframe{位置：绝对；顶部：0；左：0；宽度：100%；高度：100%；边框：0；显示：块；}.lightbox上一页，.lightbox下一个{高度：50px；线高：36px；显示：无；顶部边缘：-25px；位置：固定；顶部：50%；填充：0 15px；光标：指针；文字装饰：无；z指数：99；颜色：白色；字号：60px；字体系列："fakt web"，"Helvetica Neue"，移动物联网，Hevetica，产业云，sans serif；}.灯箱画廊#上一页，.灯箱画廊#下一个{显示：块；}.lightbox上一页{左：0；}.lightbox下一个{右：0；}.lightbox关闭{高度：50px；宽度：50px；位置：固定；光标：指针；文字装饰：无；z指数：99；右：0；顶部：0；}.灯箱#结束：之后,.灯箱#关闭：之前{位置：绝对；顶部边缘：22px；左边距：14px；内容：""；高度：3px；背景：白色；宽度：23px；-webkit转化来源：50%50%；-moz转化来源：50%50%；-o-转化原点：50%50%；转化来源：50%50%；/*狩猎*/-webkit变换：旋转（-45度）；/*火狐*/-moz变换：旋转（-45度）；/*IE公司*/-ms变换：旋转（-45度）；/*歌剧*/-o变换：旋转（-45度）；}.灯箱#结束：之后{/*狩猎*/-webkit变换：旋转（45度）；/*火狐*/-moz变换：旋转（45度）；/*IE公司*/-ms变换：旋转（45度）；/*歌剧*/-o变换：旋转（45度）；}.灯箱，.灯箱*{-webkit用户选择：无；-moz用户选择：无；-ms用户选择：无；用户选择：无；}函数为_imagelink（url）{const p=/（[a-z\-\u 0-9\/\：\.]*\（jpg | jpeg | png | gif））/i；返回url.match（p） 是吗？真：假；}函数回调（）{常量项内容=document.getElementsByClassName（"js条目内容"）[0]；常量图像=entryContent.querySelectorAll（"img"）；图像.forEach（图像=>{常量url=图像.getAttribute（"src"）；如果（url）{if（is_imagelink（url）&&！image.classList.contains（"无灯箱"）{image.classList.add（"灯箱图像"）；常量名称=图像.getAttribute（"alt"）；图像.setAttribute（"职务"，姓名）；}}});//单击灯箱移除document.body.onclick= () => {const灯箱=document.getElementsByClassName（"灯箱"）[0]；如果（灯箱）{lightbox.onclick= () => {lightbox.parentNode.removeChild（灯箱）；};}};const lightboxImages=document.querySelectorAll("图像灯箱-图像"）；if（lightboxImages）{lightboxImages.forEach（图像=>{图像.onclick=e=>{e、 preventDefault（）；常数src=图像.getAttribute（"src"）；常数alt=图像.getAttribute（"alt"）；常量标题=图像.getAttribute（"所有权"）；const灯箱=文档.createElement（"div"）；lightbox.classList.add（"灯箱"）；lightbox.innerHTML=`

${title}`；document.body.appendChild（灯箱）；};});}}如果(文档.readyState==="完成"||(文档.readyState!=="正在加载"&&！document.documentElement.doScroll文件)) {回调（）；}其他{文档.addEventListener（"DOMContentLoaded"，回调）；}document.body.onkeydown=功能（e）{开关（e.key）{case"Escape"：//esc键文档.getElementById（"关闭"）。单击（）；休息；违约：返回//}e、 preventDefault（）；//防止默认操作（滚动/移动插入符号）};