namshi/jose (versões afetadas não especificadas)

O problema decorre do sinalizador allowUnsecure, que, quando definido como true, permite que tokens assinados com algoritmos “none” sejam processados. Esse comportamento representa um risco significativo à segurança, pois pode permitir que um invasor se faça passar por usuários criando um token JWT válido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.