Die beliebte Open-Source (öffnet in neuem Tab) Das Projekt JsonWebToken enthielt eine Schwachstelle mit hohem Schweregrad, die es Angreifern ermöglichte, bösartigen Code auf betroffenen Endpunkten aus der Ferne auszuführen.
Ein Bericht der Cybersicherheitsabteilung von Palo Alto Networks, Unit 42, skizzierte, wie der Fehler es dem Server ermöglichen würde, eine in böswilliger Absicht erstellte JSON-Web-Token-Anfrage (JWT) zu verifizieren, wodurch den Angreifern Remote Code Execution (RCE)-Fähigkeiten gewährt würden.
Dies wiederum würde es Angreifern ermöglichen, auf vertrauliche Informationen (einschließlich Identitätsdaten) zuzugreifen, sie zu stehlen oder zu modifizieren.
Patch ist verfügbar
Der Fehler wird jetzt als CVE-2022-23529 verfolgt und hat einen Schweregrad von 7,6/10 erhalten, was ihn als „hohen Schweregrad“ und nicht als „kritisch“ kennzeichnet.
Einer der Gründe, warum ihm keine höhere Punktzahl gegeben wurde, ist die Tatsache, dass die Angreifer zuerst den geheimen Verwaltungsprozess zwischen einer Anwendung und einem JsonWebToken-Server kompromittieren müssten.
Jedem, der die JsonWebToken-Paketversion 8.5.1 oder eine frühere Version verwendet, wird empfohlen, das JsonWebToken-Paket auf Version 9.0.0 zu aktualisieren, die mit einem Patch für den Fehler geliefert wird.
JsonWebToken ist ein Open-Source-JavaScript-Paket, mit dem Benutzer JWTs verifizieren und/oder signieren können.
Die Token werden normalerweise zur Autorisierung und Authentifizierung verwendet, sagten die Forscher und fügten hinzu, dass sie von Auth0 entwickelt und gepflegt wurden.
Zum Zeitpunkt der Drucklegung hatte das Paket mehr als neun Millionen wöchentliche Downloads und mehr als 20.000 Abhängige. „Dieses Paket spielt eine große Rolle bei der Authentifizierungs- und Autorisierungsfunktion für viele Anwendungen“, sagten die Forscher.
Die Schwachstelle wurde erstmals Mitte Juli 2022 entdeckt, und die Forscher von Unit 42 meldeten ihre Ergebnisse sofort an Auth0. Die Autoren räumten die Schwachstelle einige Wochen später (im August) ein und veröffentlichten schließlich am 21. Dezember 2022 einen Patch.
Auth0 hat das Problem behoben, indem dem Parameter secretOrPublicKey weitere Überprüfungen hinzugefügt wurden, wodurch verhindert wird, dass bösartige Objekte analysiert werden.
Über: Piepender Computer (öffnet in neuem Tab)