CVE-2025-30144 in fast-jwtinfo

Zusammenfassung

von VulDB • 08.07.2026

fast-jwt bietet eine schnelle Implementierung von JSON Web Tokens (JWT). Vor Version 5.0.6 validiert die fast-jwt-Bibliothek den iss-Anspruch (Issuer) nicht ordnungsgemäß gemäß RFC 7519. Die Validierung des iss-Anspruchs innerhalb der fast-jwt-Bibliothek erlaubt ein Array aus Strings als gültigen Wert für iss. Dieser Designfehler ermöglicht einen potenziellen Angriff, bei dem ein böswilliger Akteur ein JWT mit einem iss-Anspruch erstellt, das die Struktur ['https://attacker-domain/', 'https://valid-iss'] aufweist. Aufgrund der nachsichtigen Validierung wird das JWT als gültig angesehen. Darüber hinaus kann ein Angreifer diese Schwachstelle ausnutzen, um ein JWT zu fälschen, das von der Opferanwendung akzeptiert wird, sofern die Anwendung externe Bibliotheken wie get-jwks verwendet, die den iss-Anspruch nicht unabhängig validieren. Im Wesentlichen kann der Angreifer seine eigene Domain in das iss-Array neben dem legitimen Aussteller einfügen und die beabsichtigten Sicherheitsprüfungen umgehen. Dieses Problem wurde in Version 5.0.6 behoben.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

17.03.2025

Veröffentlichung

19.03.2025

Moderieren

akzeptiert

Eintrag

VDB-300100

CPE

bereit

EPSS

0.00519

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!