Salvoravida React-adal 输入验证错误漏洞

漏洞ID 2269109 漏洞类型 输入验证错误
发布时间 2020-12-09 更新时间 2020-12-11
CVE编号 CVE-2020-7787

CNNVD-ID CNNVD-. k M , o ( ~ ~ }202012-789
漏洞平台 N/A CVSS评分 N/A
漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag+ l o ` u [ x f &?CNe C =NVD=CNNVD-202012-789
[ X 1 T Y洞详情
Salvoravida Rea+ 0 n R A Lct-aE l 8 sdal是Salvoravida个人开发者的一款基于JS语言的用于与Azure Active Directory交互的代码库。
react-adal 存在安全漏洞,该漏洞源于对于特殊设计的JWT令牌和请求URL,可能会导致no@ % U 4 F Jnce、会话和刷新值验证不正确,从而导致应用程序将攻击者可利用该漏洞生成的JWT令牌视为真实的。该逻辑缺陷是由nonce、会话和刷新值存储在浏览器本地存储或会话存储h H Z t中的方式造成的。每个键被自动附加到中。
参考资料

来源:MISC

链接:https:/! N D/github.com/salvoravida/react-adal/pull/115

来源:MISd S l W J % oC

链接:https://snyk.io# x 5 _ g Y ? Q/vuln/SNYK-JS-REACTADAL-1018907

来源:nvd.nistT U 6.gov

链接:_ ^ ~ - _ Y G P mh] j m 9ttps://nvd.nist.gov/vuln/detail/CVE-2020-7787