CVE-2022-23540 in jsonwebtokeninformación

Resumen

por MITRE • 2022-12-22

En las versiones `<=8.5.1` de la librería `jsonwebtoken`, la falta de definición del algoritmo en la función `jwt.verify()` puede provocar que se omita la validación de firmas debido a que se utiliza de manera predeterminada el algoritmo `none` para la verificación de firmas. Los usuarios se ven afectados si no especifica algoritmos en la función `jwt.verify()`. Este problema se ha solucionado; actualice a la versión 9.0.0, que elimina la compatibilidad predeterminada con el algoritmo none en el método `jwt.verify()`. No habrá ningún impacto si actualiza a la versión 9.0.0 y no necesita permitir el algoritmo "none". Si necesita el algoritmo 'none', debe especificarlo explícitamente en las opciones `jwt.verify()`.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub, Inc.

Reservar

2022-01-19

Divulgación

2022-12-22

Moderación

aceptado

Artículo

VDB-216516

CPE

listo

EPSS

0.00532

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!