PT-2020-16317 · Github+1 · Jwt-Go+1

Publicado

2020-09-30

·

Atualizado

2025-08-22

·

CVE-2020-26160

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:C/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do jwt-go anteriores à 4.0.0-preview1
jwt-go anterior à versão 4.0.0-preview1
Descrição
A vulnerabilidade permite que invasores contornem as restrições de acesso previstas em situações em que a reivindicação de público-alvo (audience claim) em um token JWT é uma matriz de strings, em vez de uma única string. Isso ocorre porque a verificação de tipo falha quando m[“aud”] é []string{}, resultando em uma string vazia como valor de aud. Isso representa um problema de segurança se o token JWT for apresentado a um serviço que não possua sua própria verificação de público-alvo.
Recomendações
Para versões do jwt-go anteriores à 4.0.0-preview1, migre para o golang-jwt na versão 3.2.1.
Como solução alternativa temporária, considere implementar uma verificação de público-alvo nos serviços que verificam tokens JWT para impedir a contornamento das restrições de acesso pretendidas.

Correção

Improper Authentication

Improper Handling of Exceptional Conditions

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-287CWE-755

Identificadores relacionados

AZL-41684
BDU:2025-11266
CVE-2020-26160
GHSA-W73W-5M7G-F7QC
GO-2020-0017
OPENSUSE-SU-2024:11428-1
OPENSUSE-SU-2024:11668-1
RHSA-2021:2042
SNYK-GOLANG-GITHUBCOMDGRIJALVAJWTGO-596515

Produtos afetados

Red Os
Jwt-Go