Diese Seite wurde noch nicht in Ihre Sprache übersetzt. Inhalte werden auf Englisch angezeigt, während wir daran arbeiten.
💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.
CVE-2026-44351: Authentication Bypass in fast-jwt
Plattform
nodejs
Komponente
fast-jwt
Behoben in
6.2.4
CVE-2026-44351 is a critical authentication bypass vulnerability discovered in fast-jwt, a popular JSON Web Token (JWT) implementation. This flaw allows an attacker to forge valid JWTs without authentication, effectively gaining unauthorized access to protected resources. The vulnerability affects versions 1.0.0 through 6.2.3 and has been resolved in version 6.2.4. Prompt patching is strongly recommended.
Auswirkungen und Angriffsszenarienwird übersetzt…
The impact of CVE-2026-44351 is severe. An attacker can exploit this vulnerability to impersonate legitimate users, access sensitive data, and potentially compromise the entire application. The vulnerability stems from how fast-jwt handles empty key resolver responses. Specifically, if the key resolver returns an empty string, fast-jwt incorrectly derives allowed algorithms, enabling signature verification against an empty key. This allows an attacker to craft a JWT with a valid signature (even a trivial one) that will be accepted as authentic. This is similar to vulnerabilities where improper key handling leads to authentication bypass, potentially granting full control over the application’s functionality.
Ausnutzungskontextwird übersetzt…
CVE-2026-44351 was published on 2026-05-13. Its severity is rated as CRITICAL (9.1 CVSS). Currently, there are no publicly known active campaigns exploiting this vulnerability, but the ease of exploitation and the potential impact make it a high-priority target. No entries on KEV or EPSS are currently available. Monitor security advisories and threat intelligence feeds for any indications of exploitation.
Bedrohungsanalyse
Exploit-Status
CVSS-Vektor
Was bedeuten diese Metriken?
- Attack Vector
- Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
- Attack Complexity
- Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
- Privileges Required
- Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
- User Interaction
- Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
- Scope
- Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
- Confidentiality
- Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
- Integrity
- Hoch — Angreifer kann beliebige Daten schreiben, ändern oder löschen.
- Availability
- Keine — kein Verfügbarkeitseinfluss.
Betroffene Software
Schwachstellen-Klassifikation (CWE)
Zeitleiste
- Reserviert
- Veröffentlicht
Mitigation und Workaroundswird übersetzt…
The primary mitigation for CVE-2026-44351 is to upgrade to fast-jwt version 6.2.4 or later. This version includes a fix that prevents the incorrect key derivation. If upgrading immediately is not feasible, consider implementing a temporary workaround by ensuring that your key resolver never returns an empty string. This can be achieved by adding a default key or error handling to prevent an empty response. Additionally, implement strict input validation on JWTs to prevent unexpected data from being processed. After upgrading, verify the fix by attempting to forge a JWT with an empty key and confirming that it is rejected.
So behebenwird übersetzt…
Actualice a la versión 6.2.4 o superior de fast-jwt para mitigar la vulnerabilidad. Asegúrese de que el key resolver no devuelva una cadena vacía, ya que esto permite la falsificación de tokens JWT.
Häufig gestellte Fragenwird übersetzt…
What is CVE-2026-44351 — Authentication Bypass in fast-jwt?
CVE-2026-44351 is a critical vulnerability in fast-jwt allowing unauthenticated attackers to forge JWTs, bypassing authentication mechanisms. It affects versions 1.0.0 through 6.2.3 and is rated CRITICAL (9.1 CVSS).
Am I affected by CVE-2026-44351 in fast-jwt?
If your application uses fast-jwt version 1.0.0 through 6.2.3, you are potentially affected. Check your dependencies and upgrade immediately if vulnerable.
How do I fix CVE-2026-44351 in fast-jwt?
Upgrade to fast-jwt version 6.2.4 or later to resolve the vulnerability. As a temporary workaround, ensure your key resolver never returns an empty string.
Is CVE-2026-44351 being actively exploited?
While no active campaigns are currently known, the vulnerability's ease of exploitation makes it a high-priority target. Continuous monitoring is recommended.
Where can I find the official fast-jwt advisory for CVE-2026-44351?
Refer to the fast-jwt GitHub repository and related security advisories for the latest information and updates regarding CVE-2026-44351.
Ist dein Projekt betroffen?
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Jetzt testen — kein Konto
Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.
Abhängigkeitsdatei hier ablegen
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...