CVE-2022-23529 è una nuova vulnerabilità di sicurezza nel progetto open source JSONWebToken. Il problema è stato scoperto dall'Unità 42 ricercatori, ed è stato valutato 7.6 sulla scala CVSS (alta gravità).
Cos'è il progetto open source JSONWebToken?
JSONWebToken è un progetto open source dedicato a fornire un modo sicuro per trasferire dati tra due parti. È definito come uno standard aperto (RFC 7519) che definisce “un modo compatto e autonomo per trasmettere in modo sicuro le informazioni tra le parti come oggetto JSON,” come da sito ufficiale. Il progetto è un metodo standardizzato per lo scambio sicuro di dati utilizzando un token Web JSON (JWT). Fornisce un modo per autenticare gli utenti proteggendo allo stesso tempo i dati che inviano e ricevono.
Qual è la vulnerabilità CVE-2022-23529 in JSONWebToken?
La vulnerabilità potrebbe portare a esecuzione di codice remoto su un server che verifica una richiesta di token web JSON pericolosa. “Se stai utilizzando la versione del pacchetto JsonWebToken 8.5.1 o una versione precedente, aggiornare alla versione del pacchetto JsonWebToken 9.0.0, che include una patch per questa vulnerabilità,” Unità 42 ricercatori noto.
Per fortuna, la vulnerabilità è già stata fissata. Solo i clienti che consentono a entità non attendibili di modificare il parametro di recupero della chiave di jwt.verify() su un host che controllano sono interessati. Per evitare ogni compromesso, i clienti dovrebbero aggiornare alla versione 9.0.0.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: