CVE-2022-23529 er en ny sikkerhedssårbarhed i JSONWebToken open source-projektet. Problemet blev opdaget af Unit 42 forskere, og er blevet bedømt 7.6 på CVSS skala (høj sværhedsgrad).
Hvad er JSONWebToken Open Source-projektet?
JSONWebToken er et open source-projekt dedikeret til at give en sikker måde at overføre data mellem to parter. Det er defineret som en åben standard (RFC 7519) der definerer “en kompakt og selvstændig måde til sikker transmission af information mellem parter som et JSON-objekt,” ifølge den officielle hjemmeside. Projektet er en standardiseret metode til sikker udveksling af data ved hjælp af et JSON-webtoken (JWT). Det giver en måde at autentificere brugere på, samtidig med at den beskytter de data, de sender og modtager.
Hvad er CVE-2022-23529-sårbarheden i JSONWebToken?
Sårbarheden kan føre til fjernkørsel af programkode på en server, der bekræfter en ondsindet udformet JSON-webtokenanmodning. “Hvis du bruger JsonWebToken-pakkeversionen 8.5.1 eller en tidligere version, venligst opdater til JsonWebToken-pakkeversionen 9.0.0, som inkluderer en patch til denne sårbarhed,” Enhed 42 forskere bemærkes.
Heldigvis, sårbarheden er allerede rettet. Kun kunder, der tillader upålidelige enheder at ændre nøglehentningsparameteren for jwt.verify() på en vært, som de kontrollerer, påvirkes. For at undgå enhver kompromis, kunder skal opdatere til version 9.0.0.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: