在 jsonwebtoken 库中发现严重的安全漏洞，被 22，000+ 个项目使用

开源 jsonwebtoken （JWT） 库中已披露一个严重严重的安全漏洞，如果成功利用该漏洞，可能会导致在目标服务器上远程执行代码。“通过利用此漏洞，攻击者可以在验证恶意制作的JSON Web令牌（JWT）请求的服务器上实现远程代码执行（RCE），”Palo Alto Networks Unit 42研究员Artur Oleyarsh在周一的一份报告中表示。

该问题被跟踪为 CVE-2022-23529（CVSS 分数：7.6），会影响库的所有版本，包括 8.5.1 及以下版本，已在 2022 年 12 月 21 日发布的版本 9.0.0 中得到解决。网络安全公司于 2022 年 7 月 13 日报告了该漏洞。

jsonwebtoken由Okta的Auth0开发和维护，是一个JavaScript模块，允许用户解码，验证和生成JSON Web令牌，作为在双方之间安全传输信息以进行授权和身份验证的一种手段。它在 npm 软件注册表上的每周下载量超过 1000 万次，并被超过 22，000 个项目使用。

因此，在服务器上运行恶意代码的能力可能会破坏机密性和完整性保证，从而使不良行为者能够覆盖主机上的任意文件，并使用中毒的密钥执行他们选择的任何操作。

“话虽如此，为了利用本文中描述的漏洞并控制secretOrPublicKey值，攻击者需要利用秘密管理过程中的漏洞，”Oleyarsh解释说。

随着开源软件越来越多地成为威胁参与者发动供应链攻击的有利可图的初始访问途径，下游用户主动识别、缓解和修补此类工具中的漏洞至关重要。

更糟糕的是，网络犯罪分子在利用新发现的漏洞方面变得更快，大大缩短了补丁发布和利用可用性之间的时间。据微软称，在公开披露漏洞后，平均只需 14 天即可在野外检测到漏洞利用。

为了解决漏洞发现的问题，谷歌上个月宣布发布OSV-Scanner，这是一个开源实用程序，旨在识别项目的所有传递依赖项并突出影响它的相关缺点。

原文始发于微信公众号（黑猫安全）：在 “jsonwebtoken” 库中发现严重的安全漏洞，被 22，000+ 个项目使用