概要
Auth0は、4つの脆弱性に対処するために、jsonwebtokenライブラリーの新しいメジャーバージョンをリリースしました。
次のセキュリティアドバイザリを確認し、新しいメジャーバージョンにアップグレードすることをお勧めします。
- 制限のないキータイプを使用すると、レガシーキーの使用につながる可能性があります:CVE-2022-23539
- キー取得機能の安全でない実装により、RSAからHMACへの改ざん可能な公開/秘密トークンが作成される可能性があります:CVE-2022-23541
- .verify()の安全でないデフォルトアルゴリズムにより、署名検証のバイパスが可能になるリスクがあります:CVE-2022-23540
自分は影響を受けますか?
構成に依存して、バージョンがjsonwebtoken<=8.5.1を使用している場合、影響を受ける可能性があります。詳細については、各セキュリティアドバイザリを確認してください。
対処方法は?
jsonwebtokenを使用している場合、9.0.0以上のバージョンにアップグレードしてください。いくつか追加の構成が必要かもしれません。詳細については、各セキュリティアドバイザリを確認してください。