CVE-2020-15084: Actualización de seguridad para la biblioteca express-jwt

Publicado: 30 de junio de 2020 Número de CVE: CVE-2020-15084 Reconocimiento: IST Group

Resumen

En las versiones anteriores e incluida la 5.3.3, no exigimos que se especifique la entrada algorithms en la configuración. Cuando algorithms no se especifica en la configuración, en combinación con jwks-rsa u otras bibliotecas de criptografía asimétrica, puede producirse una omisión de la autorización.

¿Me afecta?

Esta vulnerabilidad te afecta si se cumplen todas las condiciones siguientes:

Estás usando express-, Y
No tienes algorithms configurados en la configuración de express-jwt, Y
Estás usando bibliotecas como jwks-rsa como valor de secret.

¿Cómo corregirlo?

Especifique algorithms en la configuración de express-jwt. A continuación, se muestra un ejemplo de configuración correcta:

const checkJwt = jwt({
  secret: jwksRsa.expressJwtSecret({
    rateLimit: true,
    jwksRequestsPerMinute: 5,
    jwksUri: `https://{DOMAIN}/.well-known/jwks.json`
  }),
  // Valida la audiencia y el emisor.
  audience: process.env.AUDIENCE,
  issuer: `https://{DOMAIN}/`,
  // restringe los algoritmos permitidos
  algorithms: ['RS256']
});

¿Esta actualización afectará a sus usuarios?

La corrección incluida en el parche no afectará a sus usuarios si ha especificado los algoritmos permitidos. Ahora, el parche requiere configurar los algoritmos de forma obligatoria.

​Resumen

​¿Me afecta?

​¿Cómo corregirlo?

​¿Esta actualización afectará a sus usuarios?

Resumen

¿Me afecta?

¿Cómo corregirlo?

¿Esta actualización afectará a sus usuarios?