Plattform
nodejs
Komponente
jsonwebtoken
Behoben in
9.0.0
CVE-2022-23539 affects the jsonwebtoken library, specifically versions up to 8.5.1. This vulnerability arises from potential misconfigurations allowing the use of legacy, insecure key types for signature verification, such as using DSA keys with the RS256 algorithm. Exploitation could lead to signature forgery, potentially compromising the integrity of JSON Web Tokens. The vulnerability is resolved in version 9.0.0.
Die CVE-2022-23539-Schwachstelle in der jsonwebtoken-Bibliothek ermöglicht die Überprüfung von Signaturen mit veralteten, unsicheren Schlüsseltypen, wenn die Konfiguration fehlerhaft ist. Das bedeutet, dass beispielsweise DSA-Schlüssel mit dem RS256-Algorithmus verwendet werden könnten, was die Integrität und Authentizität von JWT-Tokenn gefährdet. Betroffene Versionen sind alle Versionen kleiner oder gleich 8.5.1. Der CVSS wurde mit einem Wert von 8.1 bewertet, was ein hohes Risiko anzeigt. Diese Schwachstelle ist besonders besorgniserregend für Anwendungen, die JWT für die Authentifizierung und Autorisierung verwenden, da ein Angreifer möglicherweise Token fälschen und unbefugten Zugriff auf geschützte Ressourcen erlangen könnte. Die Kombination aus EC-Schlüssel mit den Algorithmen ES256, ES384 und ES512 ist nicht betroffen.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er die jsonwebtoken-Bibliothek falsch konfiguriert, um die Verwendung von DSA-Schlüsseltypen mit dem RS256-Algorithmus zu ermöglichen. Dies würde es dem Angreifer ermöglichen, gefälschte JWT-Token mit DSA-Schlüsseln zu erstellen, die von der Anwendung als gültig akzeptiert würden, wenn sie die anfällige Bibliotheksversion verwendet. Der Erfolg der Ausnutzung hängt von der falschen Konfiguration der Bibliothek und der Fähigkeit des Angreifers ab, DSA-Schlüssel zu generieren. Die Ausnutzung könnte zu unbefugtem Zugriff auf geschützte Ressourcen, zum Diebstahl vertraulicher Daten oder sogar zur Übernahme der Kontrolle über die Anwendung führen.
Exploit-Status
EPSS
0.07% (22% Perzentil)
CVSS-Vektor
Die Lösung zur Minderung dieser Schwachstelle besteht darin, die jsonwebtoken-Bibliothek auf Version 9.0.0 oder höher zu aktualisieren. Diese Version behebt das Problem, indem die Verwendung unsicherer Schlüsseltypen mit bestimmten Algorithmen eingeschränkt wird. Überprüfen Sie außerdem die Konfiguration Ihrer Anwendung, um sicherzustellen, dass nur sichere und kompatible Algorithmen und Schlüsseltypen verwendet werden. Erwägen Sie, zusätzliche Validierungen in Ihrem Code zu implementieren, um sicherzustellen, dass empfangene JWT-Token gültig sind und nicht manipuliert wurden. Führen Sie nach dem Update gründliche Tests durch, um sicherzustellen, dass die Schwachstelle behoben wurde und die Funktionalität der Anwendung nicht beeinträchtigt ist. Überwachen Sie regelmäßig die Abhängigkeiten Ihres Projekts auf neue Schwachstellen und wenden Sie die erforderlichen Sicherheitsupdates an.
Actualice la biblioteca jsonwebtoken a la versión 9.0.0 o superior para validar las combinaciones de tipo de clave asimétrica y algoritmo. Si necesita usar combinaciones inválidas, configure la opción `allowInvalidAsymmetricKeyTypes` en `true` en las funciones `sign()` y/o `verify()`.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Ein JWT (JSON Web Token) ist ein offener Standard für die sichere Übertragung von Informationen als JSON-Objekt. Es wird häufig für Authentifizierung und Autorisierung verwendet.
Das Update behebt eine Sicherheitslücke, die es Angreifern ermöglichen könnte, JWT-Token zu fälschen und unbefugten Zugriff zu erlangen.
Wenn Sie nicht sofort aktualisieren können, überprüfen Sie die Konfiguration Ihrer Anwendung und stellen Sie sicher, dass nur sichere Algorithmen und Schlüsseltypen verwendet werden.
Überprüfen Sie die Version der jsonwebtoken-Bibliothek in Ihrem Projekt. Wenn sie kleiner oder gleich 8.5.1 ist, sind Sie anfällig.
Es gibt Tools zur Sicherheitsanalyse von Abhängigkeiten, die diese Schwachstelle in Ihren Projekten erkennen können.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.