JsonWebToken开源库存在重大安全漏洞

流行的开源(在新标签页中打开)JsonWebToken项目存在一个高危漏洞，该漏洞允许威胁行为者远程在受影响的端点上执行恶意代码。

PaloAltoNetworks网络安全部门Unit42的一份报告概述了该缺陷如何允许服务器验证恶意制作的JSON网络令牌(JWT)请求，从而授予攻击者远程代码执行(RCE)能力。

反过来，这将允许威胁行为者访问敏感信息(包括身份数据)、窃取或修改它。

该漏洞现在被追踪为CVE-2022-23529，严重等级为7.6/10，标记为“高严重性”而非“严重”。

它没有获得更高分数的原因之一是攻击者首先需要破坏应用程序和JsonWebToken服务器之间的秘密管理过程。

建议使用JsonWebToken包版本8.5.1或更早版本的任何人将JsonWebToken包更新到版本9.0.0，其中包含针对该缺陷的补丁。

JsonWebToken是一个开源JavaScript包，允许用户验证和/或签署JWT。

研究人员说，这些令牌通常用于授权和身份验证，并补充说它是由Auth0开发和维护的。

截至发稿时，该软件包每周下载量超过900万，依赖者超过20,000人。“这个包在许多应用程序的身份验证和授权功能中发挥着重要作用，”研究人员说。

该漏洞于2022年7月中旬首次被发现，Unit42的研究人员立即向Auth0报告了他们的发现。作者在几周后(8月)承认了该漏洞，并最终于2022年12月21日发布了补丁。

Auth0通过向secretOrPublicKey参数添加更多检查来解决此问题，从而防止它解析恶意对象。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！