漏洞预警|JsonWebToken远程代码执行漏洞 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

漏洞预警|JsonWebToken远程代码执行漏洞

棱镜七彩 行业 2023-01-13 15:21:51
收藏

导语:近日网上有关于开源项目JsonWebToken远程代码执行漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应

棱镜七彩安全预警

近日网上有关于开源项目JsonWebToken远程代码执行漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。

项目介绍

JsonWebToken 是一个用于创建、签名和验证 JSON Web Token开源库。node-jsonwebtoken是node.js 下 JsonWebToken 的实现。

项目主页

https://self-issued.info/docs/draft-ietf-oauth-json-web-token.html

代码托管地址

https://github.com/auth0/node-jsonwebtoken

CVE编号

CVE-2022-23529

漏洞情况

JsonWebToken 是一个用于创建、签名和验证 JSON Web Token开源库。node-jsonwebtoken是node.js 下 JsonWebToken 的实现。

在JsonWebToken <= 8.5.1版本中由于jwt.verify()方法未对用户输入的secretOrPublicKey参数进行有效的检查。如果攻击者能够控制secretOrPublicKey参数,则可以通过恶意内容覆盖它的 toString() 方法并在目标主机执行任意代码。

受影响的版本

JsonWebToken@[5.0.0, 9.0.0)

修复方案

升级JsonWebToken到9.0.0或更高版本

链接地址:

https://nvd.nist.gov/vuln/detail/CVE-2022-23529

https://github.com/auth0/node-jsonwebtoken/commit/e1fa9dcc12054a8681db4e6373da1b30cf7016e3

https://github.com/auth0/node-jsonwebtoken/security/advisories/GHSA-27h2-hvpr-p74q

查看更多安全漏洞:快速查询安全漏洞 | 柒巧板

如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务