概要
Auth0-WCF-Service-JWTのNuGetパッケージで1.0.4未満のすべてのバージョンでは、署名の検証が失敗したときに出力されるエラーメッセージに、期待されるJWT署名に関する機密情報が含まれます。Invalid signature.Expected 8Qh5lJ5gSaQylkSdaCIDBoOqKzhoJ0Nutkkap8RgB1Y= got 8Qh5lJ5gSaQylkSdaCIDBoOqKzhoJ0Nutkkap8RgBOo=
この脆弱性により、攻撃者はこのエラーメッセージを使用して任意のJWTトークンの有効な署名を取得できます。そうして、攻撃者はトークンを偽造して認証および認可メカニズムを迂回できます。
自分は影響を受けますか?
以下の条件に該当する場合、この脆弱性の影響を受けます。- Auth0-WCF-Service-JWTのNuGetパッケージで、バージョン1.0.4未満を使用している
- ユーザーインターフェースに署名検証の例外メッセージを表示するか、または攻撃者がそれを利用できるようにしている(たとえば、ログや診断メッセージなどを通じて取得できる)
修正方法
Auth0-WCF-Service-JWTライブラリーを使用している開発者は、最新バージョンである1.0.4にアップグレードしてください。 最新のパッケージはNuGetで取得できます:Install-Package Auth0-WCF-Service-JWT -Version 1.0.4