平台
nodejs
组件
jsonwebtoken
修复版本
9.0.0
CVE-2022-23539 存在于 jsonwebtoken 库的 8.5.1 及更早版本中,由于配置不当,可能导致使用过时的、不安全的密钥类型进行签名验证。例如,DSA 密钥可能与 RS256 算法一起使用,从而导致潜在的安全风险。受影响的版本包括所有 8.5.1 及更早版本。此漏洞已在 9.0.0 版本中修复。
jsonwebtoken 库中的 CVE-2022-23539 漏洞允许在配置不正确的情况下使用过时且不安全的密钥类型进行签名验证。例如,DSA 密钥可能与 RS256 算法一起使用,从而危及 JWT 令牌的完整性和真实性。受影响的版本是小于或等于 8.5.1 的版本。CVSS 得分为 8.1,表明存在高风险。对于依赖 JWT 进行身份验证和授权的应用程序,此漏洞尤其令人担忧,因为攻击者可能会伪造令牌并获得对受保护资源的未经授权的访问权限。EC 密钥与 ES256、ES384 和 ES512 算法的组合不受影响。
攻击者可以通过错误配置 jsonwebtoken 库来允许使用 RS256 算法的 DSA 密钥类型来利用此漏洞。这将使攻击者能够使用 DSA 密钥创建伪造的 JWT 令牌,如果应用程序使用易受攻击的库版本,则这些令牌将被视为有效。利用成功的关键在于库的错误配置以及攻击者生成 DSA 密钥的能力。利用可能导致对受保护资源的未经授权的访问、机密数据的盗窃,甚至可能导致应用程序控制权被夺取。
漏洞利用状态
EPSS
0.07% (22% 百分位)
CVSS 向量
减轻此漏洞的解决方案是将 jsonwebtoken 库更新到 9.0.0 或更高版本。此版本通过限制使用特定算法的非安全密钥类型来修复此问题。此外,请检查您的应用程序配置,以确保仅使用安全且兼容的算法和密钥类型。考虑在您的代码中实施其他验证,以确保接收到的 JWT 令牌有效且未被篡改。更新后进行彻底的测试,以确认漏洞已解决并且应用程序功能未受到影响。定期监控您的项目依赖项,以检测新的漏洞并应用必要的安全更新。
Actualice la biblioteca jsonwebtoken a la versión 9.0.0 o superior para validar las combinaciones de tipo de clave asimétrica y algoritmo. Si necesita usar combinaciones inválidas, configure la opción `allowInvalidAsymmetricKeyTypes` en `true` en las funciones `sign()` y/o `verify()`.
漏洞分析和关键警报直接发送到您的邮箱。
JWT(JSON Web Token)是一种将信息作为 JSON 对象安全传输的开放标准。它通常用于身份验证和授权。
更新修复了一个安全漏洞,该漏洞可能允许攻击者伪造 JWT 令牌并获得未经授权的访问权限。
如果您无法立即更新,请检查您的应用程序配置,并确保仅使用安全算法和密钥类型。
检查您项目中的 jsonwebtoken 库的版本。如果它小于或等于 8.5.1,则您容易受到攻击。
有依赖关系安全分析工具可以检测您项目中的此漏洞。