CVE-2022-29172

Versões do Auth0 anteriores à 11.33.0

O problema está relacionado ao recurso “campos adicionais de cadastro” do Auth0, no qual um agente mal-intencionado pode injetar código HTML inválido nesses campos, que é então armazenado na carga útil user metdata do serviço por meio da propriedade name. Isso pode permitir que um agente crie um link malicioso injetando HTML, que é então renderizado como o nome do destinatário no modelo de e-mail enviado.

Para versões anteriores à 11.33.0, atualize para a versão 11.33.0 para corrigir o problema. Como solução alternativa temporária, considere restringir o uso do recurso “campos adicionais de cadastro” até que a atualização seja aplicada.