Divulgación de una nueva vulnerabilidad en el popular proyecto de código abierto JasonWebToken JWT(CVE-2022-23529)
AS-003-2023
Fecha: 12/Ene/2023
Notificado por: Correo- CTI FIRST
Resumen:
Los investigadores de Unit 42(respaldada por tecnología de Palo Alto Networks) descubrieron una nueva vulnerabilidad en el popular proyecto de código abierto JsonWebToken. La vulnerabilidad se identifica como CVE-2022-23529, clasificada como de gravedad alta (CVSS 7.6).
JsonWebToken.
Es un paquete JavaScript de código abierto que le permite verificar/firmar JWT, es desarrollado y mantenido por Auth0, este paquete tiene más de 9 millones de descargas semanales y juega un papel importante en la funcionalidad de autenticación y autorización para muchas aplicaciones.
Esta vulnerabilidad necesita varios requisitos previos para ser explotable, lo que hace que sea menos probable que un atacante la use en la naturaleza. Si bien la falla es difícil de explotar, el afán de los actores de amenazas por abusar de ella no puede subestimarse dada la cantidad de objetivos potenciales, por lo que aplicar la actualización de seguridad disponible debe ser una prioridad para todos los administradores de sistemas.
La falla está en el método de verificación () de JsonWebToken , que se usa para verificar un JWT y devolver la información decodificada. Este método acepta tres parámetros: el token, la clave secreta o pública y las opciones.
El equipo Unit 42 agradece al equipo de Auth0 por manejar profesionalmente el proceso de divulgación y proporcionar un parche para la vulnerabilidad informada.
Recomendación:
Si está utilizando JsonWebToken 8.5.1 o una versión anterior, le sugerimos que actualice a JsonWebToken versión 9.0.0, que incluye una corrección para esta vulnerabilidad, para evitar que una clave secreta envenenada conduzca a un ataque.
Imagen 1: Parche de la vulnerabilidad
La conciencia de seguridad es crucial cuando se utiliza software de código abierto. Es necesario revisar las implementaciones de código abierto de seguridad de uso común para mantener su confiabilidad, y es algo que la comunidad de código abierto puede participar.
Referencia:
https://unit42.paloaltonetworks.com/jsonwebtoken-vulnerability-CVE-2022-23529/