CVE-2022-25898

Versões do jsrsasign anteriores à 10.5.25

O problema diz respeito à verificação inadequada de assinaturas criptográficas. Especificamente, assinaturas JWS ou JWT que contenham caracteres especiais não codificados em Base64URL ou caracteres numéricos escapados podem ser validados erroneamente como válidos. Isso pode afetar a autenticação ou autorização quando a validação JWS ou JWT do jsrsasign é usada no OpenID Connect ou OAuth2.

Para versões anteriores à 10.5.25, valide as assinaturas JWS ou JWT se elas contiverem Base64URL e caracteres seguros para ponto antes de executar o método JWS.verify() ou JWS.verifyJWT(). Os usuários devem atualizar para a versão 10.5.25 para resolver o problema. Como solução alternativa temporária, considere validar a string de assinatura manualmente para garantir que ela contenha apenas caracteres Base64URL e dot safe antes de executar os métodos de verificação.