L’open source populaire (s’ouvre dans un nouvel onglet) Le projet JsonWebToken comportait une vulnérabilité de haute gravité qui permettait aux acteurs de la menace d’exécuter à distance du code malveillant sur les terminaux affectés.
Un rapport de la branche cybersécurité de Palo Alto Networks, Unit 42, a expliqué comment la faille permettrait au serveur de vérifier une demande de jeton Web JSON (JWT) conçue de manière malveillante, accordant ainsi aux attaquants des capacités d’exécution de code à distance (RCE).
Cela, à son tour, permettrait aux acteurs de la menace d’accéder à des informations sensibles (y compris les données d’identité), de les voler ou de les modifier.
Le patch est disponible
La faille est désormais identifiée comme CVE-2022-23529 et a reçu un taux de gravité de 7,6/10, la marquant comme « haute gravité » et non « critique ».
L’une des raisons pour lesquelles il n’a pas obtenu un score plus élevé est due au fait que les attaquants devraient d’abord compromettre le processus de gestion secrète entre une application et un serveur JsonWebToken.
Toute personne utilisant le package JsonWebToken version 8.5.1 ou une version antérieure est invitée à mettre à jour le package JsonWebToken vers la version 9.0.0, qui est fournie avec un correctif pour la faille.
JsonWebToken est un package JavaScript open source permettant aux utilisateurs de vérifier et/ou de signer des JWT.
Les jetons sont généralement utilisés pour l’autorisation et l’authentification, ont déclaré les chercheurs, ajoutant qu’ils ont été développés et maintenus par Auth0.
Au moment de mettre sous presse, le package comptait plus de neuf millions de téléchargements hebdomadaires et plus de 20 000 personnes à charge. « Ce package joue un rôle important dans la fonctionnalité d’authentification et d’autorisation pour de nombreuses applications », ont déclaré les chercheurs.
La vulnérabilité a été découverte pour la première fois à la mi-juillet 2022, les chercheurs de l’unité 42 rapportant immédiatement leurs découvertes à Auth0. Les auteurs ont reconnu la vulnérabilité quelques semaines plus tard (en août) et ont finalement publié un correctif le 21 décembre 2022.
Auth0 a résolu le problème en ajoutant plus de vérifications au paramètre secretOrPublicKey, ce qui l’empêche d’analyser les objets malveillants.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)