CVE-2022-23539, CVE-2022-23541, CVE-2022-23540: Actualización de seguridad para jsonwebtoken - Auth0 Docs

Publicado: 21 de dic. de 2022 Números de CVE: CVE-2022-23539, CVE-2022-23541, CVE-2022-23540

Descripción general

Auth0 ha publicado una nueva versión principal de la biblioteca jsonwebtoken para corregir cuatro vulnerabilidades. Le recomendamos que revise los siguientes avisos de seguridad y actualice a la nueva versión principal:

Un tipo de clave sin restricciones podría dar lugar al uso de claves heredadas: CVE-2022-23539
Una implementación insegura de la función de recuperación de claves podría permitir falsificar tokens públicos/privados al pasar de RSA a HMAC: CVE-2022-23541
Un algoritmo predeterminado inseguro en .verify() podría permitir omitir la validación de firmas: CVE-2022-23540

¿Me afecta?

Podrías verte afectado si usas jsonwebtoken en cualquier versión <= 8.5.1, según la configuración. Consulta los avisos de seguridad correspondientes para obtener más información.

¿Cómo solucionarlo?

Si usa jsonwebtoken, actualice a la versión 9.0.0 o una posterior. Es posible que necesite configuración adicional. Consulte los avisos de seguridad correspondientes para obtener más detalles.

¿Esta actualización afectará a mis usuarios?

Actualizar a la versión 9.0.0 puede afectar a sus usuarios, según su configuración y las necesidades de su aplicación. Consulte los avisos de seguridad correspondientes para obtener más detalles.

Boletines de seguridad

CVE-2022-23505: Actualización de seguridad de la biblioteca passport-wsfed-saml2