प्लेटफ़ॉर्म
nodejs
घटक
jsonwebtoken
में ठीक किया गया
9.0.0
CVE-2022-23539, jsonwebtoken लाइब्रेरी के <=8.5.1 संस्करणों में एक भेद्यता है, जहाँ असुरक्षित कुंजी प्रकारों का उपयोग हस्ताक्षर सत्यापन के लिए किया जा सकता है। उदाहरण के लिए, DSA कुंजियों का उपयोग RS256 एल्गोरिथ्म के साथ किया जा सकता है। यह भेद्यता उच्च प्रभाव वाली है क्योंकि यह टोकन की सुरक्षा को खतरे में डाल सकती है। इसे संस्करण 9.0.0 में ठीक किया गया है।
jsonwebtoken लाइब्रेरी में CVE-2022-23539 भेद्यता अनुमति देती है कि गलत कॉन्फ़िगरेशन होने पर विरासत में मिले, असुरक्षित कुंजी प्रकारों का उपयोग करके हस्ताक्षर सत्यापित किए जा सकें। उदाहरण के लिए, DSA कुंजियों का उपयोग RS256 एल्गोरिथ्म के साथ किया जा सकता है, जिससे JWT टोकन की अखंडता और प्रामाणिकता से समझौता होता है। प्रभावित संस्करण 8.5.1 से कम या उसके बराबर हैं। CVSS को 8.1 का स्कोर दिया गया है, जो उच्च जोखिम दर्शाता है। प्रमाणीकरण और प्राधिकरण के लिए JWT पर निर्भर अनुप्रयोगों के लिए यह भेद्यता विशेष रूप से चिंताजनक है, क्योंकि एक हमलावर टोकन को जाली बना सकता है और संरक्षित संसाधनों तक अनधिकृत पहुंच प्राप्त कर सकता है। EC कुंजी के साथ ES256, ES384 और ES512 एल्गोरिदम का संयोजन प्रभावित नहीं होता है।
एक हमलावर jsonwebtoken लाइब्रेरी को गलत तरीके से कॉन्फ़िगर करके RS256 एल्गोरिथ्म के साथ DSA कुंजी प्रकारों के उपयोग की अनुमति देकर इस भेद्यता का फायदा उठा सकता है। यह हमलावर को DSA कुंजियों के साथ जाली JWT टोकन बनाने की अनुमति देगा, जिन्हें एप्लिकेशन द्वारा मान्य माना जाएगा यदि यह भेद्य लाइब्रेरी संस्करण का उपयोग कर रहा है। शोषण की सफलता लाइब्रेरी के गलत कॉन्फ़िगरेशन और हमलावर की DSA कुंजियों को उत्पन्न करने की क्षमता पर निर्भर करती है। शोषण के परिणामस्वरूप संरक्षित संसाधनों तक अनधिकृत पहुंच, गोपनीय डेटा की चोरी या यहां तक कि एप्लिकेशन का नियंत्रण हासिल हो सकता है।
एक्सप्लॉइट स्थिति
EPSS
0.07% (22% शतमक)
CVSS वेक्टर
इस भेद्यता को कम करने का समाधान jsonwebtoken लाइब्रेरी को संस्करण 9.0.0 या उससे ऊपर में अपडेट करना है। यह संस्करण विशिष्ट एल्गोरिदम के साथ असुरक्षित कुंजी प्रकारों के उपयोग को प्रतिबंधित करके इस समस्या को ठीक करता है। इसके अतिरिक्त, अपने एप्लिकेशन कॉन्फ़िगरेशन की जांच करें ताकि यह सुनिश्चित हो सके कि केवल सुरक्षित और संगत एल्गोरिदम और कुंजी प्रकारों का उपयोग किया जा रहा है। प्राप्त JWT टोकन मान्य हैं और छेड़छाड़ नहीं की गई है यह सुनिश्चित करने के लिए अपने कोड में अतिरिक्त सत्यापन लागू करने पर विचार करें। अपडेट के बाद संपूर्ण परीक्षण करें ताकि यह पुष्टि हो सके कि भेद्यता को ठीक कर दिया गया है और एप्लिकेशन की कार्यक्षमता प्रभावित नहीं हुई है। नए भेद्यताओं का पता लगाने और आवश्यक सुरक्षा अपडेट लागू करने के लिए अपने प्रोजेक्ट की निर्भरताओं की नियमित रूप से निगरानी करें।
Actualice la biblioteca jsonwebtoken a la versión 9.0.0 o superior para validar las combinaciones de tipo de clave asimétrica y algoritmo. Si necesita usar combinaciones inválidas, configure la opción `allowInvalidAsymmetricKeyTypes` en `true` en las funciones `sign()` y/o `verify()`.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
JWT (JSON Web Token) एक JSON ऑब्जेक्ट के रूप में सुरक्षित रूप से जानकारी प्रसारित करने के लिए एक खुला मानक है। यह आमतौर पर प्रमाणीकरण और प्राधिकरण के लिए उपयोग किया जाता है।
अपडेट एक सुरक्षा भेद्यता को ठीक करता है जो हमलावरों को JWT टोकन को जाली बनाने और अनधिकृत पहुंच प्राप्त करने की अनुमति दे सकता है।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो अपने एप्लिकेशन कॉन्फ़िगरेशन की जांच करें और सुनिश्चित करें कि केवल सुरक्षित एल्गोरिदम और कुंजी प्रकारों का उपयोग किया जा रहा है।
अपने प्रोजेक्ट में jsonwebtoken लाइब्रेरी के संस्करण की जांच करें। यदि यह 8.5.1 से कम या उसके बराबर है, तो आप कमजोर हैं।
निर्भरता सुरक्षा विश्लेषण उपकरण हैं जो आपके प्रोजेक्ट में इस भेद्यता का पता लगा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।