Plateforme
nodejs
Composant
jsonwebtoken
Corrigé dans
9.0.0
La CVE-2022-23539 affecte la bibliothèque jsonwebtoken, permettant une configuration incorrecte et l'utilisation de types de clés obsolètes et non sécurisés pour la vérification des signatures. Cela peut conduire à l'exploitation de vulnérabilités potentielles. Les versions affectées sont celles inférieures ou égales à 8.5.1. La version 9.0.0 corrige cette vulnérabilité.
La vulnérabilité CVE-2022-23539 dans la bibliothèque jsonwebtoken permet la vérification de signatures avec des types de clés hérités et non sécurisés si la configuration est incorrecte. Cela signifie, par exemple, que des clés DSA pourraient être utilisées avec l'algorithme RS256, compromettant l'intégrité et l'authenticité des jetons JWT. Les versions affectées sont celles inférieures ou égales à 8.5.1. Le CVSS a été noté 8.1, indiquant un risque élevé. Cette vulnérabilité est particulièrement préoccupante pour les applications qui dépendent de JWT pour l'authentification et l'autorisation, car un attaquant pourrait potentiellement falsifier des jetons et obtenir un accès non autorisé aux ressources protégées. La combinaison de clé EC avec les algorithmes ES256, ES384 et ES512 n'est pas affectée.
Un attaquant pourrait exploiter cette vulnérabilité en configurant incorrectement la bibliothèque jsonwebtoken pour autoriser l'utilisation de types de clés DSA avec l'algorithme RS256. Cela permettrait à l'attaquant de créer des jetons JWT falsifiés avec des clés DSA, qui seraient acceptés comme valides par l'application si elle utilise la version vulnérable de la bibliothèque. Le succès de l'exploitation dépend de la configuration incorrecte de la bibliothèque et de la capacité de l'attaquant à générer des clés DSA. L'exploitation pourrait entraîner un accès non autorisé aux ressources protégées, le vol de données confidentielles ou même la prise de contrôle de l'application.
Statut de l'Exploit
EPSS
0.07% (percentile 22%)
Vecteur CVSS
La solution pour atténuer cette vulnérabilité consiste à mettre à jour la bibliothèque jsonwebtoken à la version 9.0.0 ou supérieure. Cette version corrige le problème en restreignant l'utilisation de types de clés non sécurisés avec des algorithmes spécifiques. De plus, examinez la configuration de votre application pour vous assurer que seuls des algorithmes et des types de clés sécurisés et compatibles sont utilisés. Envisagez de mettre en œuvre des validations supplémentaires dans votre code pour garantir que les jetons JWT reçus sont valides et n'ont pas été altérés. Effectuez des tests approfondis après la mise à jour pour confirmer que la vulnérabilité a été résolue et que la fonctionnalité de l'application reste inchangée. Surveillez régulièrement les dépendances de votre projet pour détecter de nouvelles vulnérabilités et appliquer les mises à jour de sécurité nécessaires.
Actualice la biblioteca jsonwebtoken a la versión 9.0.0 o superior para validar las combinaciones de tipo de clave asimétrica y algoritmo. Si necesita usar combinaciones inválidas, configure la opción `allowInvalidAsymmetricKeyTypes` en `true` en las funciones `sign()` y/o `verify()`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Un jeton JWT (JSON Web Token) est une norme ouverte pour transmettre des informations de manière sécurisée sous forme d'objet JSON. Il est couramment utilisé pour l'authentification et l'autorisation.
La mise à jour corrige une vulnérabilité de sécurité qui pourrait permettre aux attaquants de falsifier des jetons JWT et d'obtenir un accès non autorisé.
Si vous ne pouvez pas mettre à jour immédiatement, examinez la configuration de votre application et assurez-vous que seuls des algorithmes et des types de clés sécurisés sont utilisés.
Vérifiez la version de la bibliothèque jsonwebtoken dans votre projet. Si elle est inférieure ou égale à 8.5.1, vous êtes vulnérable.
Il existe des outils d'analyse de sécurité des dépendances qui peuvent détecter cette vulnérabilité dans vos projets.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.