CVE-2023-48223 in fast-jwtالمعلومات

الملخص

بحسب VulDB • 12/06/2026

توفر fast-jwt تنفيذًا سريعًا لرموز JSON Web Token (JWT). قبل الإصدار 3.3.2، لا تمنع مكتبة fast-jwt بشكل صحيح التباس خوارزميات JWT لجميع أنواع المفاتيح العامة. لا يقوم 'publicKeyPemMatcher' الموجود في الملف 'fast-jwt/src/crypto.js' بمطابقة جميع تنسيقات PEM الشائعة للمفاتيح العامة بشكل سليم. لاستغلال هذا الثغرة، يحتاج المهاجم إلى إنشاء رمز JWT ضار يحتوي على خوارزمية HS256 ومُوقَّع باستخدام المفتاح العام RSA لتطبيق الضحية. لن تعمل هذه الهجمة إلا إذا كان تطبيق الضحية يستخدم مفتاحًا عامًا يحتوي على رأس `BEGIN RSA PUBLIC KEY`. التطبيقات التي تستخدم خوارزمية RS256، وتستخدم مفتاحًا عامًا برأس `BEGIN RSA PUBLIC KEY`، وتستدعي دالة التحقق (verify) دون تحديد الخوارزمية صراحةً، تكون عرضة لهجوم التباس الخوارزميات هذا الذي يسمح للمهاجمين بتوقيع حمولات عشوائية سيتم قبولها من قبل المُتحقق. يحتوي الإصدار 3.3.2 على تصحيح لهذه المشكلة. كحل بديل مؤقت، قم بتعديل السطر 29 في `blob/master/src/crypto.js` لتشمل تعبيرًا منتظمًا (regular expression).

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub, Inc.

حجز

13/11/2023

إفشاء

20/11/2023

الاعتدال

تمت الموافقة

إدخال

VDB-245820

EPSS

0.00687

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!