Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en las restricciones de acceso en situaciones con []string{} para m["aud"] en el token JWT en jwt-go (CVE-2020-26160)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-287 Autenticación incorrecta
Fecha de publicación:
30/09/2020
Última modificación:
21/07/2021

Descripción

jwt-go versiones anteriores a 4.0.0-preview1, permite a atacantes omitir las restricciones de acceso previstas en situaciones con []string{} para m["aud"] (que está permitido por la especificación). Porque la aserción de tipo presenta un fallo, "" es el valor de aud. Este es un problema de seguridad si el token JWT es presentado para un servicio que carece de su propia comprobación de audiencia

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:jwt-go_project:jwt-go:*:*:*:*:*:*:*:* 3.2.0 (incluyendo)