流行的开源项目Jsonwebtoken带有高度脆弱性,使威胁参与者能够在受影响的端点上执行恶意代码。
Palo Alto Networks’网络安全部门,第42单元概述了该漏洞如何允许服务器验证恶意制作的JSON Web令牌(JWT)请求,从而授予攻击者远程代码执行(RCE)能力。
反过来,这将允许威胁参与者访问敏感信息(包括身份数据),窃取或修改它。
你可能喜欢
另一个严重的WordPress插件漏洞可能会使40,000个网站处于攻击风险
Next中的关键安全漏洞可能会给Javascript用户带来巨大麻烦
思科已经修补了一个令人担忧的缺陷,这可能会让攻击者劫持设备
补丁可用
现在,该缺陷被跟踪为CVE-2022-23529,并被赋予7.6/10的严重性率,将其标记为“高度差异”,而不是“关键”。
它没有得到更高的分数的原因之一是,攻击者首先需要妥协应用程序和jsonwebtoken服务器之间的秘密管理过程。
建议任何使用JSONWEBTOKEN软件包版本8.5.1或较早版本的人将JSONWEBTOKEN软件包更新为9.0.0版,该版本带有缺陷的补丁。
JSONWEBTOKEN是一个开源Javascript软件包,允许用户验证和/或签名JWT。
你是专业人士吗?订阅我们的新闻通讯
注册techradar Pro新闻通讯,以获取您的业务成功所需的所有首选,意见,功能和指导!取得成功!请与我联系我们的其他未来品牌的新闻,并代表我们值得信赖的合作伙伴或Sponsorsby提交您的信息,您同意您同意的条款和隐私政策,并年龄在16岁或超过16岁之间。
研究人员说,这些令牌通常用于授权和身份验证,并补充说,它是由Auth0进行开发和维护的。阅读更多
>与Apple漏洞登录可能导致帐户接管
>对开源软件的热爱没有显示放缓的迹象
>这些是周围最好的端点保护软件
在发稿时,该包装每周下载超过900万,超过20,000个依赖者。研究人员说:“该软件包在许多应用程序的身份验证和授权功能中起着重要作用。”
该脆弱性最初是在2022年7月中旬发现的,其研究人员的研究人员立即向Auth0报告了他们的发现。作者几周后(8月)承认了漏洞,并最终于2022年12月21日发布了一个补丁。
auth0通过向SecretorPublicKey参数添加更多检查来解决该问题,该参数可防止其解析恶意对象
通过:BleepingComputer
