Julienwoll

**Nome do software vulnerável e versões afetadas** Versões do jsonwebtoken <=8.5.1 **Descrição** A biblioteca jsonwebtoken pode estar mal configurada para usar tipos de chave legados e inseguros na verificação de assinaturas. Por exemplo, chaves DSA podem ser usadas com o algoritmo RS256. Os usuários são afetados se utilizarem uma combinação de algoritmo e tipo de chave diferente daquelas listadas como não afetadas. O problema foi corrigido na versão 9.0.0, que valida combinações de tipos de chave assimétrica e algoritmos. **Recomendações** Atualize para a versão 9.0.0 para corrigir o problema. Após a atualização, se você ainda pretender usar combinações inválidas de tipo de chave/algoritmo, defina a opção `allowInvalidAsymmetricKeyTypes` como `true` nas funções `sign()` e/ou `verify()`.

**Nome do software vulnerável e versões afetadas** Versões do jsonwebtoken <=8.5.1 **Descrição** O problema decorre da falta de definição de algoritmo na função `jwt.verify()`, levando a uma omissão na validação da assinatura devido ao uso padrão do algoritmo `none` para verificação de assinatura. Isso ocorre quando nenhum algoritmo é especificado na função `jwt.verify()` e um segredo ou chave inválida é utilizada. Os usuários são afetados se receberem um token sem assinatura, não especificarem algoritmos e passarem um segredo ou chave inválida. **Recomendações** Para versões do jsonwebtoken <=8.5.1, atualize para a versão 9.0.0 para remover o suporte padrão ao algoritmo `none` no método `jwt.verify()`. Se o algoritmo `none` for necessário, especifique-o explicitamente nas opções de `jwt.verify()`.

**Nome do software vulnerável e versões afetadas** Versões do jsonwebtoken <= 8.5.1 **Descrição** A biblioteca jsonwebtoken pode ser configurada incorretamente, levando a uma verificação incorreta dos tokens. Isso ocorre quando é utilizada uma função de recuperação de chave mal implementada, referindo-se ao argumento `secretOrPublicKey`. Como resultado, tokens assinados com uma chave pública assimétrica poderiam ser verificados com um algoritmo simétrico HS256, permitindo a validação bem-sucedida de tokens falsificados. Esta falha afeta aplicativos que suportam chaves simétricas e assimétricas na implementação de jwt.verify() com a mesma função de recuperação de chave. **Recomendações** Atualize para a versão 9.0.0 para resolver a falha. Se você estiver usando atualmente uma versão do jsonwebtoken <= 8.5.1, a atualização para a versão 9.0.0 corrigirá o problema. Como solução alternativa temporária, considere revisar e corrigir sua função de recuperação de chave para garantir que ela lide adequadamente com chaves simétricas e assimétricas. Restrinja o acesso à função jwt.verify() para minimizar o risco de exploração até que a atualização seja aplicada.