CVE-2022-23529 en JsonWebToken permite ataques RCE

CVE-2022-23529 es una nueva vulnerabilidad de seguridad en el proyecto de código abierto JSONWebToken. El problema fue descubierto por la Unidad 42 investigadores, y ha sido calificado 7.6 en la escala CVSS (alta severidad).

¿Qué es el proyecto de código abierto JSONWebToken??

JSONWebToken es un proyecto de código abierto dedicado a proporcionar una forma segura de transferir datos entre dos partes. Se define como un estándar abierto. (RFC 7519) que define “una forma compacta y autónoma de transmitir información de forma segura entre las partes como un objeto JSON,” según el sitio web oficial. El proyecto es un método estandarizado para intercambiar datos de forma segura utilizando un token web JSON (JWT). Proporciona una forma de autenticar a los usuarios al mismo tiempo que protege los datos que envían y reciben..

¿Qué es la vulnerabilidad CVE-2022-23529 en JSONWebToken??

La vulnerabilidad podría conducir a ejecución remota de código en un servidor que verifica una solicitud de token web JSON creada con fines malintencionados. “Si está utilizando la versión del paquete JsonWebToken 8.5.1 o una versión anterior, actualice a la versión del paquete JsonWebToken 9.0.0, que incluye un parche para esta vulnerabilidad,” Unidad 42 investigadores célebre.

Afortunadamente, la vulnerabilidad ya ha sido fijado. Solo los clientes que permiten que las entidades que no son de confianza modifiquen el parámetro de recuperación de claves de jwt.verify() en un host que controlan se ven afectados. Para evitar cualquier compromiso, los clientes deben actualizar a la versión 9.0.0.