CVE-2022-23539、CVE-2022-23541、CVE-2022-23540：jsonwebtokenのセキュリティ更新

公開日：2022年12月21日

CVEメンバー：CVE-2022-23539、CVE-2022-23541、CVE-2022-23540

Auth0は、4つの脆弱性に対処するために、jsonwebtokenライブラリーの新しいメジャーバージョンをリリースしました。

次のセキュリティアドバイザリを確認し、新しいメジャーバージョンにアップグレードすることをお勧めします。

• 制限のないキータイプを使用すると、レガシーキーの使用につながる可能性があります：CVE-2022-23539

• キー取得機能の安全でない実装により、RSAからHMACへの改ざん可能な公開/秘密トークンが作成される可能性があります：CVE-2022-23541

• jwt.verify()の安全でないデフォルトアルゴリズムにより、署名検証のバイパスが可能になるリスクがあります：CVE-2022-23540

構成に依存して、バージョンがjsonwebtoken<=8.5.1を使用している場合、影響を受ける可能性があります。詳細については、各セキュリティアドバイザリを確認してください。

jsonwebtokenを使用している場合、9.0.0以上のバージョンにアップグレードしてください。いくつか追加の構成が必要かもしれません。詳細については、各セキュリティアドバイザリを確認してください。

構成とアプリケーションのニーズによりますが、バージョン9.0.0にアップグレードすることにより、ユーザーに影響を与えるかもしれません。詳細については、各セキュリティアドバイザリを確認してください。