jsonwebtoken, un type de clé non restreint pourrait mener à l'utilisation de clés héritées

# Aperçu Les versions `<=8.5.1` de la bibliothèque `jsonwebtoken` pourraient être mal configurées de sorte que des types de clés hérités et non sécurisés soient utilisés pour la vérification de la signature. Par exemple, des clés DSA pourraient être utilisées avec l'algorithme RS256. # Suis-je affecté(e) ? Vous êtes affecté(e) si vous utilisez un algorithme et un type de clé autres que les combinaisons mentionnées ci-dessous | Type de clé | algorithme | |----------|------------------------------------------| | ec | ES256, ES384, ES512 | | rsa | RS256, RS384, RS512, PS256, PS384, PS512 | | rsa-pss | PS256, PS384, PS512 | Et pour les algorithmes de courbe elliptique : | `alg` | Courbe | |-------|------------| | ES256 | prime256v1 | | ES384 | secp384r1 | | ES512 | secp521r1 | # Comment puis-je corriger cela ? Mettez à jour vers la version 9.0.0. Cette version valide les combinaisons de type de clé asymétrique et d'algorithme. Veuillez vous référer aux combinaisons algorithme/type de clé mentionnées ci-dessus pour la configuration sécurisée valide. Après la mise à jour vers la version 9.0.0, si vous avez toujours l'intention de continuer à signer ou à vérifier des jetons en utilisant des combinaisons de valeurs de type de clé/algorithme non valides, vous devrez définir `allowInvalid`