CVE-2026-35039

Nome do Software Vulnerável e Versões Afetadas fast-jwt (versões afetadas não especificadas)

Descrição A biblioteca fast-jwt possui uma vulnerabilidade de confusão de cache que pode levar a misturas de identidade ou autorização. Isso ocorre quando uma função cacheKeyBuilder personalizada não cria chaves exclusivas para tokens diferentes, levando a colisões de cache. Isso pode resultar em tokens válidos retornando declarações de tokens diferentes, personificação de usuário, escalada de privilégios, acesso a dados entre tenants e bypass de autorização. A vulnerabilidade afeta apenas aplicativos que habilitam o cache e usam funções cacheKeyBuilder personalizadas propensas a colisões. Exemplos de configurações vulneráveis incluem aquelas que agrupam por público, tipo de usuário ou tenant e serviço. Configurações seguras incluem o uso do cache baseado em hash padrão ou a desativação completa do cache. A função parseToken é usada dentro da função cacheKeyBuilder.

Recomendações Garanta a exclusividade das chaves produzidas na função cacheKeyBuilder. Remova a função cacheKeyBuilder personalizada. Desative o cache.