CVE-2022-23539, CVE-2022-23541, CVE-2022-23540: Mise à jour de sécurité pour jsonwebtoken

Sur cette page

Présentation
Suis-je affecté?
Comment résoudre ce problème?
Cette mise à jour aura-t-elle un impact sur mes utilisateurs?

Published : 12 décembre 2022 Numéros CVE : CVE-2022-23539, CVE-2022-23541, CVE-2022-23540

Présentation

Auth0 a publié une nouvelle version majeure de la bibliothèque jsonwebtoken pour répondre à quatre vulnérabilités. Nous vous recommandons de consulter les avis de sécurité suivants et de mettre à niveau vers la nouvelle version majeure :

Le type de clé non restreint pourrait entraîner l’utilisation de clés héritées : CVE-2022-23539
Une implémentation non sécurisée de la fonction de récupération des clés pourrait entraîner la falsification de jetons publics et privés de RSA vers HMAC : CVE-2022-23541
Un algorithme par défaut non sécurisé dans .verify() pourrait entraîner un contournement de la validation de la signature : CVE-2022-23540

Suis-je affecté?

Vous pourriez être affecté si vous utilisez jsonwebtoken dans n’importe quelle version <= 8.5.1 selon la configuration. Veuillez consulter les avis de sécurité individuels pour plus de détails.

Comment résoudre ce problème?

Si vous utilisez jsonwebtoken, mettez à jour vers la version 9.0.0 ou supérieure. Vous pourriez avoir besoin d’une configuration supplémentaire. Veuillez consulter les avis de sécurité individuels pour plus de détails.

Cette mise à jour aura-t-elle un impact sur mes utilisateurs?

La mise à jour vers la version 9.0.0 peut avoir un impact sur vos utilisateurs en fonction de votre configuration et des besoins de l’application. Veuillez consulter les avis de sécurité individuels pour plus de détails.

Bulletins de sécurité

CVE-2022-23505 : Mise à jour de la sécurité pour la bibliothèque passport-wsfed-saml2

⌘I