CVE-2020-26892

NATS nats-server, versões 2.0.0 a 2.1.8

Biblioteca JWT, versões anteriores à 1.1.0

O problema está relacionado a um controle de acesso incorreto na biblioteca JWT utilizada pelo NATS nats-server, especificamente na forma como as credenciais expiradas são tratadas. As funções IsRevoked e Export.IsRevoked validam incorretamente credenciais expiradas usando a hora atual do sistema, em vez da hora de emissão do JWT. Isso faz com que a expiração de credenciais baseada no tempo não funcione. Um novo método IsClaimRevoked foi introduzido com o tratamento correto, e o nats-server foi atualizado para usar esse método. O método antigo IsRevoked agora sempre retorna true, e outros códigos de cliente deverão ser atualizados para evitar chamá-lo.

Para as versões 2.0.0 a 2.1.8 do NATS nats-server, atualize para a versão 2.1.9 ou posterior.

Para versões da biblioteca JWT anteriores à 1.1.0, atualize a dependência JWT para a versão 1.1.0 ou posterior.

Como solução temporária, considere usar credenciais que só expirem após a implantação das correções.

Evite usar o método IsRevoked na biblioteca JWT afetada até que o problema seja resolvido.