CVE-2026-35040 in fast-jwt
요약
\~에 의해 VulDB • 2026. 05. 22.
fast-jwt는 빠른 JSON Web Token(JWT) 구현을 제공합니다. 6.2.1 버전 이전에서는 verify 함수의 allowedAud, allowedIss, allowedSub, allowedJti 또는 allowedNonce 옵션에서 RegExp 객체에 특정 수정자를 사용하면 의도하지 않은 동작이 발생할 수 있습니다. 이는 일부 수정자가 상태(stateful)를 유지하며, 제공된 토큰의 유효성과 관계없이 두 번째 검증 시도마다 실패를 유발하기 때문입니다. 이러한 수정자로는 /g(전역 일치)와 /y(고정 일치)가 있습니다. 이 취약점은 무효한 토큰을 허용하지는 않지만, 일부 구성에서 유효한 토큰이 부적절하게 거부되도록 합니다. 결과적으로 교대 패턴으로 유효한 인증 요청의 50%가 실패합니다. 이 취약점은 6.2.1에서 수정되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.