CVE-2020-26521

Versões 2 do NATS Server anteriores à 2.1.9

Versões da biblioteca JWT anteriores à 1.1.0

Uma conta maliciosa pode criar e assinar um JWT de usuário com um estado não gerado pelas ferramentas normais, de modo que a decodificação pela biblioteca JWT do NATS tentaria uma referência nula, interrompendo a execução. Isso pode causar uma negação de serviço devido ao encerramento do processo no servidor NATS. O problema está relacionado ao sistema de contas do NATS, no qual um operador confiável para os servidores assina contas, e cada conta pode então criar e assinar usuários dentro de sua conta.

Atualize o servidor NATS para a versão 2.1.9 ou posterior se estiver usando contas NATS.

Atualize a dependência JWT em qualquer aplicativo que a utilize para a versão 1.1.0 ou posterior.

Se seus servidores NATS não confiarem em nenhuma conta gerenciada por entidades não confiáveis, é improvável que credenciais de usuário malformadas sejam encontradas, e talvez você não precise tomar medidas imediatas. No entanto, a atualização ainda é recomendada para evitar possíveis problemas.