JsonWebToken 安全漏洞引发的代码执行风险

关键要点

• JsonWebToken 安全漏洞可被威胁行为者利用进行远程代码执行。
• 漏洞编号为 CVE-2022-23529，存在于包的验证功能中，源于缺少对某些参数的验证。
• 受到影响的版本为 8.5.1 及之前版本，已在 9.0.0 版本中修复。
• 强烈建议用户立即更新到最新版本以确保安全。

根据 的报道，广泛使用的开源 JavaScript包 JsonWebToken 存在安全漏洞，可能被威胁行为者利用，导致 。Palo Alto Networks 的 Unit42 研究人员发现，该漏洞的编号为 CVE-2022-23529，位于该包的验证功能中，主要是因为缺少对某个参数的验证。这一验证的缺失使得攻击者可以通过恶意构造的 JSON JWT请求，利用该参数向验证函数提供恶意对象，从而实现方法重写和任意文件写入。

受影响的 JsonWebToken 版本是 8.5.1 及之前版本，而该漏洞已在 JsonWebToken 9.0.0 版本中得到解决。Unit 42强调：“使用开源软件时，安全意识至关重要。定期审查常用的安全开源实现是维护其可靠性所必需的，这也是开源社区可以参与的工作。”

相关链接

请确保您的系统使用的是最新版本，以降低潜在的安全风险。