CVE-2019-20174

Versões do Auth0 Lock anteriores à 11.21.0

O problema surge quando additionalSignUpFields é usado com um placeholder não confiável no Auth0 Lock, permitindo cross-site scripting (XSS) nas páginas de cadastro. Isso ocorre quando a propriedade placeholder é obtida de uma fonte não confiável, como um parâmetro de consulta, e é usada para adicionar uma caixa de seleção à caixa de diálogo de cadastro. A vulnerabilidade está presente em versões do Auth0 Lock nas quais o código HTML gerado não é devidamente sanitizado.

Para versões do Auth0 Lock anteriores à 11.21.0, atualize para a versão 11.21.0 ou posterior para corrigir o problema. Na versão 11.21.0, a propriedade placeholder é tratada como texto simples, e uma nova propriedade placeholderHTML foi introduzida para uso com fontes confiáveis. Desenvolvedores que utilizam a propriedade placeholder com conteúdo HTML de uma fonte confiável devem começar a usar a propriedade placeholderHTML para manter a experiência do usuário.