CVE-2022-23541

Versões do jsonwebtoken <= 8.5.1

A biblioteca jsonwebtoken pode ser configurada incorretamente, levando a uma verificação incorreta dos tokens. Isso ocorre quando é utilizada uma função de recuperação de chave mal implementada, referindo-se ao argumento secretOrPublicKey. Como resultado, tokens assinados com uma chave pública assimétrica poderiam ser verificados com um algoritmo simétrico HS256, permitindo a validação bem-sucedida de tokens falsificados. Esta falha afeta aplicativos que suportam chaves simétricas e assimétricas na implementação de jwt.verify() com a mesma função de recuperação de chave.

Atualize para a versão 9.0.0 para resolver a falha. Se você estiver usando atualmente uma versão do jsonwebtoken <= 8.5.1, a atualização para a versão 9.0.0 corrigirá o problema. Como solução alternativa temporária, considere revisar e corrigir sua função de recuperação de chave para garantir que ela lide adequadamente com chaves simétricas e assimétricas. Restrinja o acesso à função jwt.verify() para minimizar o risco de exploração até que a atualização seja aplicada.