CVE-2022-23539, CVE-2022-23541, CVE-2022-23540 : mise à jour de sécurité pour jsonwebtoken - Auth0 Docs

Publié : 21 déc. 2022 Numéros CVE : CVE-2022-23539, CVE-2022-23541, CVE-2022-23540

Vue d’ensemble

Auth0 a publié une nouvelle version majeure de la bibliothèque jsonwebtoken pour corriger quatre vulnérabilités. Nous vous recommandons de consulter les avis de sécurité suivants et de passer à cette nouvelle version majeure :

Un type de clé non restreint pourrait entraîner l’utilisation de clés héritées : CVE-2022-23539
Une implémentation non sécurisée de la fonction de récupération de clé pourrait permettre de falsifier des jetons publics/privés en faisant passer RSA pour HMAC : CVE-2022-23541
Un algorithme par défaut non sécurisé dans .verify() pourrait permettre de contourner la validation de la signature : CVE-2022-23540

Suis-je concerné(e) ?

Vous pourriez être concerné(e) si vous utilisez jsonwebtoken dans une version <= 8.5.1, selon la configuration. Consultez les avis de sécurité individuels pour plus de détails.

Comment corriger ce problème ?

Si vous utilisez jsonwebtoken, passez à la version 9.0.0 ou ultérieure. Il se peut qu’une configuration supplémentaire soit nécessaire. Consultez les avis de sécurité individuels pour en savoir plus.

Cette mise à jour aura-t-elle une incidence sur mes utilisateurs ?

Le passage à la version 9.0.0 peut avoir une incidence sur vos utilisateurs, selon votre configuration et les besoins de votre application. Veuillez consulter les avis de sécurité individuels pour en savoir plus.

Bulletins de sécurité

CVE-2022-23505: Mise à jour de sécurité de la bibliothèque passport-wsfed-saml2