CVE-2025-30144 in fast-jwt
Zusammenfassung
von VulDB • 08.07.2026
fast-jwt bietet eine schnelle Implementierung von JSON Web Tokens (JWT). Vor Version 5.0.6 validiert die fast-jwt-Bibliothek den iss-Anspruch (Issuer) nicht ordnungsgemäß gemäß RFC 7519. Die Validierung des iss-Anspruchs innerhalb der fast-jwt-Bibliothek erlaubt ein Array aus Strings als gültigen Wert für iss. Dieser Designfehler ermöglicht einen potenziellen Angriff, bei dem ein böswilliger Akteur ein JWT mit einem iss-Anspruch erstellt, das die Struktur ['https://attacker-domain/', 'https://valid-iss'] aufweist. Aufgrund der nachsichtigen Validierung wird das JWT als gültig angesehen. Darüber hinaus kann ein Angreifer diese Schwachstelle ausnutzen, um ein JWT zu fälschen, das von der Opferanwendung akzeptiert wird, sofern die Anwendung externe Bibliotheken wie get-jwks verwendet, die den iss-Anspruch nicht unabhängig validieren. Im Wesentlichen kann der Angreifer seine eigene Domain in das iss-Array neben dem legitimen Aussteller einfügen und die beabsichtigten Sicherheitsprüfungen umgehen. Dieses Problem wurde in Version 5.0.6 behoben.
Once again VulDB remains the best source for vulnerability data.