CVE-2026-35040 in fast-jwtالمعلومات

الملخص

بحسب VulDB • 22/05/2026

يوفر fast-jwt تنفيذًا سريعًا لرموز JSON Web Token (JWT). قبل الإصدار 6.2.1، يمكن أن يؤدي استخدام بعض التعديلات (modifiers) على كائنات RegExp في خيارات allowedAud، allowedIss، allowedSub، allowedJti، أو allowedNonce داخل دوال التحقق (verify functions) إلى حدوث سلوكيات غير مقصودة. ويعود ذلك إلى أن بعض التعديلات ذات حالة (stateful)، مما يتسبب في فشل كل محاولة تحقق ثانية بغض النظر عن صلاحية الرمز المقدم. ومن بين هذه التعديلات /g (المطابقة العالمية) و /y (المطابقة اللاصقة). لا يسمح هذا العيب بقبول الرموز غير الصالحة، بل يؤدي فقط إلى رفض الرموز الصالحة بشكل غير صحيح في بعض التكوينات. وبدلاً من ذلك، يتسبب في فشل 50% من طلبات المصادقة الصالحة بنمط متناوب. تم إصلاح هذا العيب في الإصدار 6.2.1.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

31/03/2026

إفشاء

09/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-356578

EPSS

0.00383

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!