CVE-2020-15119

Versões do auth0-lock anteriores à 11.26.3

A vulnerabilidade expõe os aplicativos e seus usuários a ataques de cross-site scripting (XSS) devido ao uso de dangerouslySetInnerHTML para atualizar o DOM. Isso ocorre quando o auth0-lock é usado com os modos de conexão Passwordless ou Enterprise, nos quais as entradas do usuário (como e-mail, número de telefone ou domínio do IdP) são exibidas de volta ao usuário. Isso pode levar a ataques de XSS.

Para versões anteriores à 11.26.3, atualize para a versão 11.26.3 para resolver o problema. Como solução alternativa temporária, considere evitar o uso dos modos de conexão Passwordless ou Enterprise até que a atualização seja aplicada.