CVE-2026-35042

Nome do Software Vulnerável e Versões Afetadas fast-jwt versões 6.1.0 e anteriores

Descrição fast-jwt não valida o parâmetro de cabeçalho 'crit' (Crítico) conforme definido na RFC 7515 §4.1.11. Quando um token JWS inclui um array 'crit' listando extensões que o fast-jwt não entende, a biblioteca aceita o token em vez de rejeitá-lo, violando o requisito MUST da RFC. Isso pode levar à verificação de divisão de cérebros em ambientes de biblioteca mista, contornar a política de segurança quando 'crit' carrega semântica de aplicação e contornar a vinculação de token. O parâmetro crit especifica extensões obrigatórias no cabeçalho JWT. Se um destinatário não suportar essas extensões, o JWT deve ser rejeitado. A prova de conceito demonstra que um token com uma extensão crítica não suportada ('x-custom-policy') é aceito pelo fast-jwt, enquanto uma biblioteca como jose o rejeita corretamente.

Recomendações Atualize para uma versão do fast-jwt que inclua validação para o parâmetro de cabeçalho 'crit'. Em src/verifier.js, adicione a validação crit após a decodificação do cabeçalho, garantindo que apenas extensões críticas suportadas sejam aceitas e que todas as extensões críticas listadas estejam presentes no cabeçalho.