CVE-2022-23529 é uma nova vulnerabilidade de segurança no projeto de código aberto JSONWebToken. O problema foi descoberto pela Unidade 42 pesquisadores, e foi avaliado 7.6 na escala CVSS (alta gravidade).
O que é o projeto de código aberto JSONWebToken?
JSONWebToken é um projeto de código aberto dedicado a fornecer uma maneira segura de transferir dados entre duas partes. É definido como um padrão aberto (RFC 7519) que define “uma maneira compacta e independente de transmitir informações com segurança entre as partes como um objeto JSON,” conforme o site oficial. O projeto é um método padronizado para troca segura de dados usando um token da Web JSON (JWT). Ele fornece uma maneira de autenticar os usuários e, ao mesmo tempo, proteger os dados que eles estão enviando e recebendo.
O que é a vulnerabilidade CVE-2022-23529 no JSONWebToken?
A vulnerabilidade pode levar a execução remota de código em um servidor que verifica uma solicitação de token da Web JSON criada com códigos maliciosos. “Se você estiver usando a versão do pacote JsonWebToken 8.5.1 ou uma versão anterior, atualize para a versão do pacote JsonWebToken 9.0.0, que inclui um patch para esta vulnerabilidade,” Unidade 42 pesquisadores notado.
Felizmente, a vulnerabilidade já foi corrigida. Somente clientes que permitem que entidades não confiáveis modifiquem o parâmetro de recuperação de chave do jwt.verify() em um host que eles controlam são afetados. Para evitar qualquer compromisso, os clientes devem atualizar para a versão 9.0.0.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: