CVE-2026-35040 in fast-jwt
الملخص
بحسب VulDB • 22/05/2026
يوفر fast-jwt تنفيذًا سريعًا لرموز JSON Web Token (JWT). قبل الإصدار 6.2.1، يمكن أن يؤدي استخدام بعض التعديلات (modifiers) على كائنات RegExp في خيارات allowedAud، allowedIss، allowedSub، allowedJti، أو allowedNonce داخل دوال التحقق (verify functions) إلى حدوث سلوكيات غير مقصودة. ويعود ذلك إلى أن بعض التعديلات ذات حالة (stateful)، مما يتسبب في فشل كل محاولة تحقق ثانية بغض النظر عن صلاحية الرمز المقدم. ومن بين هذه التعديلات /g (المطابقة العالمية) و /y (المطابقة اللاصقة). لا يسمح هذا العيب بقبول الرموز غير الصالحة، بل يؤدي فقط إلى رفض الرموز الصالحة بشكل غير صحيح في بعض التكوينات. وبدلاً من ذلك، يتسبب في فشل 50% من طلبات المصادقة الصالحة بنمط متناوب. تم إصلاح هذا العيب في الإصدار 6.2.1.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.