Vulnerabilidad en jsonwebtoken (CVE-2022-23540)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
22/12/2022
Última modificación:
13/02/2025
Descripción
En las versiones `<=8.5.1` de la librería `jsonwebtoken`, la falta de definición del algoritmo en la función `jwt.verify()` puede provocar que se omita la validación de firmas debido a que se utiliza de manera predeterminada el algoritmo `none` para la verificación de firmas. Los usuarios se ven afectados si no especifica algoritmos en la función `jwt.verify()`. Este problema se ha solucionado; actualice a la versión 9.0.0, que elimina la compatibilidad predeterminada con el algoritmo none en el método `jwt.verify()`. No habrá ningún impacto si actualiza a la versión 9.0.0 y no necesita permitir el algoritmo "none". Si necesita el algoritmo 'none', debe especificarlo explícitamente en las opciones `jwt.verify()`.
Impacto
Puntuación base 3.x
6.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:auth0:jsonwebtoken:*:*:*:*:*:node.js:*:* | 8.5.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/auth0/node-jsonwebtoken/commit/e1fa9dcc12054a8681db4e6373da1b30cf7016e3
- https://github.com/auth0/node-jsonwebtoken/security/advisories/GHSA-qwph-4952-7xr6
- https://security.netapp.com/advisory/ntap-20240621-0007/
- https://github.com/auth0/node-jsonwebtoken/commit/e1fa9dcc12054a8681db4e6373da1b30cf7016e3
- https://github.com/auth0/node-jsonwebtoken/security/advisories/GHSA-qwph-4952-7xr6
- https://security.netapp.com/advisory/ntap-20240621-0007/