jsonwebtokenに任意のファイル書き込みの脆弱性(High: CVE-2022-23529)

12/22/2022にJSON Web Tokenのnode.jsでの実装でAuth0が出してくれている「jsonwebtoken」に任意のファイル書き込みの脆弱性(High: CVE-2022-23529)が公開されています。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。


[過去関連リンク(最新5件)]

CVSS/プライオリティ

  • CVE-2022-23529
    • 影響するバージョン
      • <= 8.5.1
    • 一時情報源
    • Priority
      • NVD: 9.8 Critical
      • GitHub: 7.6 High
      • Project: Moderate
    • CVSS Score / CVSS Vector
      • NVD: Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
      • GitHub: Vector: Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:L

修正方法

jsonwebtokenのバージョンを9.0に更新して下さい。

CVE概要(詳細はCVEのサイトをご確認ください)

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23529
    • 任意書きこみの脆弱性
    • 該当のバージョンでは、悪意の有る攻撃者がキー取得パラメータを変更できる場合、ホストマシンに任意のファイルを書き込むことが出来ます。ユーザが影響を受けるのは、信頼されていないエンティティが、管理しているホスト上の”jwt.verify()”のキー取得パラメータ変更を許可されている場合のみです。

主なディストリビューションの対応方法

  • Debian
    • N/A
  • Red Hat Enterprise Linux/CentOS
    • N/A
  • Ubuntu
    • N/A
  • SUSE/openSUSE
    • N/A

対処方法

バージョンを9.0に更新して下さい。

[参考]

タイトルとURLをコピーしました