CVE-2022-23529 in JsonWebToken staat RCE-aanvallen toe

CVE-2022-23529 is een nieuw beveiligingsprobleem in het open source-project JSONWebToken. Het probleem is ontdekt door Unit 42 onderzoekers, en is beoordeeld 7.6 op de schaal CVSS (hoge ernst).

Wat is het JSONWebToken Open Source-project?

JSONWebToken is een open source-project dat zich toelegt op het bieden van een veilige manier om gegevens tussen twee partijen uit te wisselen. Het is gedefinieerd als een open standaard (RFC 7519) dat definieert “een compacte en op zichzelf staande manier voor het veilig verzenden van informatie tussen partijen als een JSON-object,” volgens de officiële website. Het project is een gestandaardiseerde methode om gegevens veilig uit te wisselen met behulp van een JSON-webtoken (JWT). Het biedt een manier om gebruikers te authenticeren en tegelijkertijd de gegevens die ze verzenden en ontvangen te beschermen.

Wat is het beveiligingslek CVE-2022-23529 in JSONWebToken?

De kwetsbaarheid kan leiden tot uitvoering van externe code op een server die een kwaadwillig vervaardigd JSON-webtokenverzoek verifieert. “Als u JsonWebToken-pakketversie gebruikt 8.5.1 of een eerdere versie, update naar de JsonWebToken-pakketversie 9.0.0, die een patch bevat voor deze kwetsbaarheid,” Eenheid 42 onderzoekers bekend.

Gelukkig, de kwetsbaarheid reeds vastgesteld. Alleen klanten die niet-vertrouwde entiteiten toestaan de parameter voor het ophalen van sleutels van jwt.verify te wijzigen() op een host die zij controleren, worden beïnvloed. Om enig compromis te voorkomen, klanten moeten updaten naar versie 9.0.0.