CVE-2022-23539, CVE-2022-23541, CVE-2022-23540: Mise à jour de sécurité pour jsonwebtoken

Published : 12 décembre 2022

Numéros CVE : CVE-2022-23539, CVE-2022-23541, CVE-2022-23540

Auth0 a publié une nouvelle version majeure de la bibliothèque jsonwebtoken pour répondre à quatre vulnérabilités.

Nous vous recommandons de consulter les avis de sécurité suivants et de mettre à niveau vers la nouvelle version majeure :

• Le type de clé non restreint pourrait entraîner l’utilisation de clés héritées : CVE-2022-23539

• Une implémentation non sécurisée de la fonction de récupération des clés pourrait entraîner la falsification de jetons publics et privés de RSA vers HMAC : CVE-2022-23541

• Un algorithme par défaut non sécurisé dans jwt.verify() pourrait entraîner un contournement de la validation de la signature : CVE-2022-23540

Vous pourriez être affecté si vous utilisez jsonwebtoken dans n’importe quelle version <= 8.5.1 selon la configuration. Veuillez consulter les avis de sécurité individuels pour plus de détails.

Si vous utilisez jsonwebtoken, mettez à jour vers la version 9.0.0 ou supérieure. Vous pourriez avoir besoin d’une configuration supplémentaire. Veuillez consulter les avis de sécurité individuels pour plus de détails.

La mise à jour vers la version 9.0.0 peut avoir un impact sur vos utilisateurs en fonction de votre configuration et des besoins de l’application. Veuillez consulter les avis de sécurité individuels pour plus de détails.