CVE-2020-7787

Versões do react-adal anteriores à 0.5.1

O problema decorre da forma como os valores de nonce, sessão e atualização são armazenados no armazenamento local ou no armazenamento de sessão do navegador. Cada chave é automaticamente anexada por ‘||’. Quando as chaves de nonce e sessão recebidas são geradas, a lista de valores é armazenada no armazenamento do navegador, separada por ‘||’, com ‘||’ sempre anexado ao final da lista. Como ‘||’ será sempre os dois últimos caracteres dos valores armazenados, uma string vazia (“”) estará sempre na lista de valores válidos. Portanto, se um parâmetro de sessão vazio for fornecido na URL de callback e um token JWT especialmente criado contiver um valor de nonce igual a “” (string vazia), o adal.js considerará o token JWT como autêntico.

Para versões anteriores à 0.5.1, atualize para a versão 0.5.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do componente vulnerável até que um patch esteja disponível. Evite usar um parâmetro de sessão vazio na URL de retorno de chamada e certifique-se de que os tokens JWT não contenham uma string vazia como valor nonce.