Angreifer können Remotecodeausführung auf einem Server erschleichen
9. Januar 2023Im Open-Source-Projekt JsonWebToken wurde eine neue Sicherheitslücke entdeckt. Die Schwachstelle wird als besonders schwerwiegend eingestuft, da Angreifer durch deren Ausnutzung Remotecodeausführung (RCE) auf einem Server erreichen können.
Open-Source-Projekte bilden heutzutage häufig das Rückgrat vieler Dienste und Plattformen. Dies gilt auch für die Implementierung sensibler Sicherheitsmechanismen, die bei Authentifizierungs- und Autorisierungsprozessen eine große Rolle spielen.
Die Schwachstelle im Open-Source-Projekt JsonWebToken wurde im Rahmen eines Programms entdeckt, bei dem Sicherheitsforscher von Unit 42 regelmäßig nach Risiken in Open-Source-Projekten suchen.
- Das von Auth0 entwickelte und gepflegte JsonWebToken-Paket wird wöchentlich über neun Millionen Mal heruntergeladen und hat über 20.000 Abhängigkeiten. Dieses Paket spielt eine wichtige Rolle bei der Authentifizierungs- und Autorisierungsfunktionalität für viele Anwendungen.
- Die Schwachstelle wird als CVE-2022-23529 identifiziert und als hochgradig schwerwiegend eingestuft (CVSS 7.6). Durch Ausnutzung der Schwachstelle können Angreifer Remotecodeausführung (RCE) auf einem Server erreichen, der eine böswillig gestaltete JSON-Web-Token (JWT)-Anforderung verifiziert.
- Unternehmen, die das JsonWebToken-Paket in der Version 8.5.1 oder einer früheren Version verwenden, sollten umgehend auf die Version 9.0.0 aktualisieren, die einen Patch für diese Sicherheitslücke enthält. (rhh)
Hier geht es zu weiteren Informationen