CISO Advisor: 242.318 page views/mês - 93.273 usuários/mês - 5.338 assinantes

Pesquisadores encontram falha na biblioteca JsonWebToken

Da Redação
11/01/2023

Uma nova vulnerabilidade de alta gravidade foi encontrada no popular pacote JavaScript de código aberto JsonWebToken. Ao explorar a falha, um invasor pode realizar a execução remota de código (RCE) em um servidor, verificando uma solicitação de token da web JSON (JWT) criada com códigos maliciosos, detalhou a Palo Alto Networks em um comunicado na segunda-feira, 9.

Do ponto de vista técnico, o JsonWebToken, que é desenvolvido e mantido pela Auth0, empresa de autenticação e autorização de aplicativos, permite aos desenvolvedores verificar e assinar JWTs e é usado principalmente para fins de autorização e autenticação.

De acordo com a Palo Alto, o pacote tinha mais de 9 milhões de downloads semanais e mais de 20 mil projetos. O pesquisador de segurança da companhia, Artur Oleyarsh, disse que a equipe alertou imediatamente a Auth0 quando descobriu a vulnerabilidade, rastreada como CVE-2022-23529, em julho de 2022. 

“Normalmente, os ataques a JWTs envolvem diferentes técnicas de falsificação que abusam de implementações JWT com erros”, escreveu Oleyarsh. “Esses tipos de ataques têm consequências graves porque, na maioria dos casos, um ataque bem-sucedido permite que um invasor contorne os mecanismos de autenticação e autorização para acessar informações confidenciais ou roubar ou modificar dados”.

Veja isso
Pesquisadores alertam sobre bug no Java similar ao Log4Shell
Carregador de JavaScript é usado para distribuir oito trojans

Ao mesmo tempo, o pesquisador da Palo Alto esclareceu que, para explorar a vulnerabilidade, um invasor também deve aproveitar uma falha no processo de gerenciamento de segredo. Devido à complexidade da vulnerabilidade, a Palo Alto sugeriu um escore de 7.6 no sistema de pontuação comum de vulnerabilidades (CVSS).

Segundo o especialista em segurança, a equipe de engenharia da Auth0 forneceu um patch para a falha em dezembro de 2022. Oleyarsh disse que a conscientização sobre segurança é crucial ao usar software de código aberto. “A revisão das implementações de código aberto de segurança comumente usadas é necessária para manter sua confiabilidade e é algo em que a comunidade de código aberto pode participar”, disse Oleyarsh.

Compartilhar: