CVE-2026-34950

Name of the Vulnerable Software and Affected Versions fast-jwt (versões afetadas não especificadas)

Description A biblioteca fast-jwt contém uma correção incompleta para um problema de confusão de algoritmo JWT. A regex de correspondência de chave pública em fast-jwt/src/crypto.js usa uma âncora inicial que pode ser ignorada por espaços em branco na string da chave, reativando o ataque de confusão de algoritmo JWT que a correção original (CVE-2023-48223) pretendia resolver. Especificamente, a regex publicKeyPemMatcher requer uma correspondência no início da string, mas essa exigência é ignorada por qualquer espaço em branco inicial. Isso permite que um invasor assine um token HS256 usando a chave pública como o segredo HMAC, efetivamente ignorando a autenticação. Espaços em branco iniciais em strings de chave PEM são comuns em implantações do mundo real, como aquelas envolvendo colunas de texto PostgreSQL/MySQL, strings multilinha YAML, variáveis de ambiente e configurações copiadas e coladas. A vulnerabilidade ocorre quando o servidor usa o algoritmo RS256 com uma chave pública contendo espaços em branco iniciais e chama a função de verificação sem especificar explicitamente o algoritmo. O invasor precisa do conhecimento da chave pública RSA do servidor para explorar essa falha.

Recommendations Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.