вычисления techradar.com Новости

Библиотека с открытым исходным кодом JsonWebToken имеет существенный недостаток безопасности

11 января 2023 г.

Популярный проект с открытым исходным кодом JsonWebToken имел высокую степень серьезности уязвимость, которая позволяла злоумышленникам удаленно запускать вредоносный код на уязвимых конечных точках.

В отчете подразделения кибербезопасности Palo Alto Networks, Unit 42, описано, как уязвимость позволит серверу проверить злонамеренно созданный веб-токен JSON. (JWT), тем самым предоставляя злоумышленникам возможности удаленного выполнения кода (RCE).

Это, в свою очередь, позволит злоумышленникам получить доступ к конфиденциальной информации (включая идентификационные данные). ), украсть или изменить его.

Исправление доступно

Уязвимость теперь отслеживается как CVE-2022-23529, и ей присвоена степень серьезности 7,6/10, что означает "высокую серьезность", а не "критичность".

Одна из причин, по которой ему не присвоено более высокое значение, связана с тем, что злоумышленникам сначала необходимо скомпрометировать процесс управления секретами между приложением и сервером JsonWebToken.

Всем, кто использует пакет JsonWebToken версии 8.5.1 или более ранней версии, рекомендуется обновить пакет JsonWebToken до версии 9.0.0, которая поставляется с исправлением для устранения уязвимости.

JsonWebToken — это пакет JavaScript с открытым исходным кодом, позволяющий пользователям проверять и/или подписывать JWT.

Токены обычно используются для авторизации и аутентификации, говорят исследователи, добавляя, что они были разработаны и поддерживаются Auth0.

Подробнее

> Уязвимость входа с помощью Apple могла привести к захвату аккаунта< /strong>

> Любовь к программному обеспечению с открытым исходным кодом не собирается сбавлять обороты

> Это лучшие программное обеспечение для защиты конечных точек

На момент публикации у пакета было более девяти миллионов загрузок в неделю и более 20 000 зависимых пользователей. «Этот пакет играет большую роль в функциях аутентификации и авторизации для многих приложений», — сказали исследователи.
Уязвимость была впервые обнаружена в середине июля 2022 года, и исследователи Unit 42 немедленно сообщили о своих выводах Auth0. . Авторы признали наличие уязвимости несколько недель спустя (в августе) и, наконец, выпустили исправление 21 декабря 2022 года.
Auth0 устранил проблему, добавив дополнительные проверки в параметр secretOrPublicKey, что препятствует его синтаксическому анализу. вредоносные объекты.

Познакомьтесь с лучшими брандмауэрами прямо сейчас

Через: BleepingComputer

Оригинал

Recent Post

Новые спортивные наушники Soundcore предлагают настраиваемую надежную посадку в стиле Powerbeats Pro за небольшую цену.
24 апреля 2024 г.

Следующей звездой фестиваля Fortnite станет Билли Айлиш.
24 апреля 2024 г.

Последнее обновление прошивки Nintendo Switch устраняет проблему, из-за которой некоторые игроки не могли подключиться к Wi-Fi.
24 апреля 2024 г.

Acer показывает Apple, как осуществляется защита окружающей среды, обещая собрать эквивалент 2,5 миллионов пластиковых бутылок в партнерстве с Plastic Bank
24 апреля 2024 г.

Microsoft лишает панель управления Windows 11 еще одного инструмента – это надпись на стене?
24 апреля 2024 г.

Categories

Python

blockchain

web

hackernoon

вычисления

вычислительные компоненты

цифровой дом

игры

аудио

домашний кинотеатр

Интернет

Мобильные вычисления

сеть

фотосъемка видео

портативные устройства

программного обеспечения

телефон и связь

телевидение

видео

мир технологий

умные гиды

облако

искусственный интеллект

се

Samsung

умные города

digitaltrends

безопасность

техника и работа

cxo

мобильность

разработчик

5г

майкрософт

инновации