Vulnerabilidad en JWK Set (CVE-2025-22149)
Gravedad CVSS v4.0:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/01/2025
Última modificación:
23/05/2025
Descripción
JWK Set (JSON Web Key Set) es una implementación de JWK y JWK Set Go. Antes de la versión 0.6.0, la caché local de JWK Set del cliente HTTP proporcionado por el proyecto debería realizar un reemplazo completo cuando la goroutine actualiza el JWK Set remoto. El comportamiento actual es sobrescribir o agregar. Este es un problema de seguridad para los casos de uso que utilizan el cliente HTTP de almacenamiento en caché automático proporcionado y donde la eliminación de claves de un JWK Set es equivalente a la revocación. El cliente HTTP de almacenamiento en caché automático afectado se agregó en la versión v0.5.0 y se solucionó en la v0.6.0. El único workaround sería eliminar el cliente HTTP de almacenamiento en caché automático proporcionado y reemplazarlo con una implementación personalizada. Esto implica configurar HTTPClientStorageOptions.RefreshInterval en cero (o no especificar el valor).
Impacto
Puntuación base 4.0
2.10
Gravedad 4.0
BAJA
Referencias a soluciones, herramientas e información
- https://github.com/MicahParks/jwkset/commit/01db49a90f7f20c7fb39a699a2f19a7a5f379ed3
- https://github.com/MicahParks/jwkset/issues/40
- https://github.com/MicahParks/jwkset/security/advisories/GHSA-675f-rq2r-jw82
- https://www.vicarius.io/vsociety/posts/cve-2025-22149-detect-jwkset-vulnerability-in-go-projects-1
- https://www.vicarius.io/vsociety/posts/cve-2025-22149-mitigate-jwkset-vulnerability-in-go-projects