PT-2022-16061 · Npm · Jsonwebtoken
Julienwoll
·
Publicado
2022-12-22
·
Atualizado
2026-06-04
·
CVE-2022-23540
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:H/A:L |
Nome do software vulnerável e versões afetadas
Versões do jsonwebtoken <=8.5.1
Descrição
O problema decorre da falta de definição de algoritmo na função
jwt.verify(), levando a uma omissão na validação da assinatura devido ao uso padrão do algoritmo none para verificação de assinatura. Isso ocorre quando nenhum algoritmo é especificado na função jwt.verify() e um segredo ou chave inválida é utilizada. Os usuários são afetados se receberem um token sem assinatura, não especificarem algoritmos e passarem um segredo ou chave inválida.Recomendações
Para versões do jsonwebtoken <=8.5.1, atualize para a versão 9.0.0 para remover o suporte padrão ao algoritmo
none no método jwt.verify(). Se o algoritmo none for necessário, especifique-o explicitamente nas opções de jwt.verify().Exploit
Correção
Improper Verification of Cryptographic Signature
Improper Authentication
Use of a Broken Cryptographic Algorithm
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jsonwebtoken