PT-2020-14172 · Auth0 · Jwks-Rsa+1
Gkwang
·
Publicado
2020-06-30
·
Atualizado
2026-06-04
·
CVE-2020-15084
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
express-jwt versões 5.3.3 e anteriores
Descrição
O problema ocorre quando a entrada
algorithms não é especificada na configuração, o que pode levar à contornamento da autorização quando usada com bibliotecas como jwks-rsa como secret. Isso ocorre porque a entrada algorithms não está sendo aplicada nas versões até a 5.3.3, inclusive. Para ser afetado, é necessário estar usando o express-jwt, não ter algorithms configurado e usar bibliotecas como jwks-rsa como secret.Recomendações
Para as versões 5.3.3 e anteriores do express-jwt, especifique
algorithms na configuração do express-jwt para corrigir o problema. Por exemplo, configure algorithms como [‘RS256’] para restringir os algoritmos permitidos. Essa alteração não afetará os usuários se algorithms já tiver sido especificado, pois o patch torna algorithms uma configuração obrigatória.Correção
Incorrect Authorization
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Express-Jwt
Jwks-Rsa