PT-2022-16059 · Unknown · Jsonwebtoken
Julienwoll
·
Publicado
2022-12-22
·
Atualizado
2026-06-04
·
CVE-2022-23539
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do jsonwebtoken <=8.5.1
Descrição
A biblioteca jsonwebtoken pode estar mal configurada para usar tipos de chave legados e inseguros na verificação de assinaturas. Por exemplo, chaves DSA podem ser usadas com o algoritmo RS256. Os usuários são afetados se utilizarem uma combinação de algoritmo e tipo de chave diferente daquelas listadas como não afetadas. O problema foi corrigido na versão 9.0.0, que valida combinações de tipos de chave assimétrica e algoritmos.
Recomendações
Atualize para a versão 9.0.0 para corrigir o problema. Após a atualização, se você ainda pretender usar combinações inválidas de tipo de chave/algoritmo, defina a opção
allowInvalidAsymmetricKeyTypes como true nas funções sign() e/ou verify().Exploit
Correção
Use of a Broken Cryptographic Algorithm
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jsonwebtoken