CVE-2022-23529 ist eine neue Sicherheitslücke im Open-Source-Projekt JSONWebToken. Das Problem wurde von Unit entdeckt 42 Forscher, und wurde bewertet 7.6 auf der Skala CVSS- (hoher Schweregrad).
Was ist das Open-Source-Projekt JSONWebToken??
JSONWebToken ist ein Open-Source-Projekt, das sich der Bereitstellung einer sicheren Methode zur Datenübertragung zwischen zwei Parteien verschrieben hat. Es ist als offener Standard definiert (RFC 7519) das definiert “eine kompakte und eigenständige Methode zur sicheren Übertragung von Informationen zwischen Parteien als JSON-Objekt,” laut offizieller Website. Das Projekt ist eine standardisierte Methode zum sicheren Austausch von Daten mit einem JSON-Web-Token (JWT). Es bietet eine Möglichkeit, Benutzer zu authentifizieren und gleichzeitig die von ihnen gesendeten und empfangenen Daten zu schützen.
Was ist die Schwachstelle CVE-2022-23529 in JSONWebToken?
Die Schwachstelle könnte dazu führen Remotecodeausführung auf einem Server, der eine in böser Absicht erstellte JSON-Web-Token-Anforderung überprüft. “Wenn Sie die JsonWebToken-Paketversion verwenden 8.5.1 oder eine frühere Version, Bitte aktualisieren Sie auf die JsonWebToken-Paketversion 9.0.0, die einen Patch für diese Schwachstelle enthält,” Einheit 42 Forscher bekannt.
Zum Glück, die Sicherheitslücke bereits behoben. Nur Kunden, die nicht vertrauenswürdigen Entitäten erlauben, den Schlüsselabrufparameter von jwt.verify zu ändern() auf einem von ihnen kontrollierten Host sind betroffen. Um zu vermeiden, jeden Kompromiss, Kunden sollten auf die Version aktualisieren 9.0.0.