导读 流行的开源(在新标签页中打开)JsonWebToken项目存在一个高危漏洞,该漏洞允许威胁行为者远程在受影响的端点上执行恶意代码。PaloAltoNetwor
流行的开源(在新标签页中打开)JsonWebToken项目存在一个高危漏洞,该漏洞允许威胁行为者远程在受影响的端点上执行恶意代码。
PaloAltoNetworks网络安全部门Unit42的一份报告概述了该缺陷如何允许服务器验证恶意制作的JSON网络令牌(JWT)请求,从而授予攻击者远程代码执行(RCE)能力。
反过来,这将允许威胁行为者访问敏感信息(包括身份数据)、窃取或修改它。
该漏洞现在被追踪为CVE-2022-23529,严重等级为7.6/10,标记为“高严重性”而非“严重”。
它没有获得更高分数的原因之一是攻击者首先需要破坏应用程序和JsonWebToken服务器之间的秘密管理过程。
建议使用JsonWebToken包版本8.5.1或更早版本的任何人将JsonWebToken包更新到版本9.0.0,其中包含针对该缺陷的补丁。
JsonWebToken是一个开源JavaScript包,允许用户验证和/或签署JWT。
研究人员说,这些令牌通常用于授权和身份验证,并补充说它是由Auth0开发和维护的。
截至发稿时,该软件包每周下载量超过900万,依赖者超过20,000人。“这个包在许多应用程序的身份验证和授权功能中发挥着重要作用,”研究人员说。
该漏洞于2022年7月中旬首次被发现,Unit42的研究人员立即向Auth0报告了他们的发现。作者在几周后(8月)承认了该漏洞,并最终于2022年12月21日发布了补丁。
Auth0通过向secretOrPublicKey参数添加更多检查来解决此问题,从而防止它解析恶意对象。