您当前的位置:首页 > 电脑百科 > 安全防护 > 漏洞

Node.JS基础库JWT爆发严重RCE漏洞

时间:2023-01-12 11:47:33  来源:今日头条  作者:虫虫安全

近日著名node.js库JWT(JsonWebToken )被爆存在严重远程漏洞。作为一个基础库,JWT被供应链广泛采用用,影响22000 多个项目个项目,其中包括Microsoft、Twilio、Salesforce、Intuit、Box、IBM、Docusign、Slack、SAP 知名公司的开源项目。

概述

JsonWebToken 项目是一个开源库,用于创建、签发和验证JSON Web 令牌。JWT遵循开放标准RFC 7519 ,该标准定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为JSON 对象。该信息可以被验证和信任,因为它是经过数字签名的,JWT项目由Okta Auth0 开发和维护,根据NPM站点的统计数据其周下载量有1000万次 ,被22060个项目依赖。

最新暴露的漏洞CVE编号为CVE-2022-23529 ,利用该漏洞可使攻击者绕过身份验证机制、访问机密信息,还可以用来窃取和修改数据。

根据Unit 42的说明,该漏洞的利用需要先破坏应用程序和JsonWebToken 服务器之间的密码管理过程,加大了可被利用的难度。目前其严重性等级降7.6。

漏洞分析

CVE-2022-23529 漏洞由Palo Alto 网络的Unit 42 在去年7 月13 日发现,并立即报告给 Auth0。

研究人员发现,威胁行为者在验证恶意制作的 JWS 令牌后,可以使用JsonWebToken 在服务器上实现远程代码执行。

漏洞注入点位于JsonWebToken 的verify() 方法中,该方法用于验证 JWT 并返回解码信息。 此方法接受三个参数:token 、secretOrPublicKey 和option。由于函数验证时候未对“secretOrPublicKey”参数的检查以确定它是字符串还是缓冲区,攻击者可以发送特制对象在目标机器上执行任意文件写入。

使用相同的缺陷,但请求的负载略有不同,Unit42 报告说实际上可以实现远程代码执行。

此漏洞被归类为“高严重性”(CVSS 3.1 得分:7.6),因为利用它很复杂,只能在秘密管理过程中利用它。只有当允许不受信任的实体在控制的主机上修改jwt.verify() 的密钥检索参数时,才会受到影响,。

Auth0 团队确认在2022 年8 月正在研究解决方案,在2022 年12 月21日发布了 JsonWebToken 版本9.0.0 的补丁。

该补丁包括对 secretOrPublicKey 参数实施额外检查,以防止其解析恶意对象。

由于JsonWebToken 是被广泛的引用开源库,供应链影响巨大,并且它将持续很长一段时间,直到大多数项目升级到安全版本。

虽然该漏洞利用难度较高,但考虑到潜在目标的数量,虽然该漏洞利用难度较高,但考虑到潜在目标的数量,建议所有系统管理都赶紧排查影响面并及时升级系统。



Tags:RCE漏洞   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
近日著名node.js库JWT(JsonWebToken )被爆存在严重远程漏洞。作为一个基础库,JWT被供应链广泛采用用,影响22000 多个项目个项目,其中包括Microsoft、Twilio、Salesforce、Intuit...【详细内容】
2023-01-12  Tags: RCE漏洞  点击:(0)  评论:(0)  加入收藏
Liferay Portal CE是一款用来快速构建网站的开源系统。在7.2.1 CE GA2之前的Liferay Portal中,对不可信数据的反序列化允许远程攻击者通过JSON web服务(JSONWS)执行任意代码...【详细内容】
2020-07-20  Tags: RCE漏洞  点击:(320)  评论:(0)  加入收藏
F5网络(F5)修补了一个严重的远程代码执行(RCE)漏洞,该漏洞在BIG-IP应用程序交付控制器(ADC)的流量管理用户界面(TMUI)的未公开页面中发现。使用BIG-IP软件和硬件解决方案的F5客户包...【详细内容】
2020-07-05  Tags: RCE漏洞  点击:(210)  评论:(0)  加入收藏
▌简易百科推荐
近日著名node.js库JWT(JsonWebToken )被爆存在严重远程漏洞。作为一个基础库,JWT被供应链广泛采用用,影响22000 多个项目个项目,其中包括Microsoft、Twilio、Salesforce、Intuit...【详细内容】
2023-01-12  虫虫安全  今日头条  Tags:RCE漏洞   点击:(0)  评论:(0)  加入收藏
漏洞概述2016年,谷歌发布Google Home智能音箱产品。2021年,安全研究人员Matt在Google Home智能音箱设备中发现了一个安全漏洞,攻击者利用该漏洞可以在受害者设备中安装后门装好...【详细内容】
2023-01-02  嘶吼RoarTalk     Tags:漏洞   点击:(6)  评论:(0)  加入收藏
代码审计,属于白盒测试,审查代码检查是否有安全问题,核心就两点:跟踪用户输入数据+敏感函数参数回溯。代码审计关键词查询1. 密码硬编码(密码明文存储)——即将密码直接...【详细内容】
2022-12-30  天磊卫士  今日头条  Tags:漏洞   点击:(14)  评论:(0)  加入收藏
据Security Affairs消息,近期披露的一个严重 Linux 内核漏洞会影响 SMB 服务器,可能导致远程代码执行。该漏洞的 CVSS 评分达到了最高级别的10分,影响启用了 KSMBD 的服务器。K...【详细内容】
2022-12-29  嘻呱互联   网易号  Tags:漏洞   点击:(22)  评论:(0)  加入收藏
前言 CVE-2022-0847 DirtyPipe脏管道漏洞是Linux内核中的一个漏洞,该漏洞允许写只读文件,从而导致提权。 调试环境 ubuntu 20.04 Linux-5.16.10 qemu-system-x86_64...【详细内容】
2022-12-29  iHacking  今日头条  Tags:   点击:(33)  评论:(0)  加入收藏
漏洞简介 2022年12月22日,Apache 官方公告发布 ShardingSphere-Proxy 5.3.0 之前版本存在身份绕过漏洞(CVE-2022-45347)。当 ShardingSphere-Proxy 使用 MySQL 作为后端数据库...【详细内容】
2022-12-27  墨菲安全  搜狐号  Tags:漏洞   点击:(19)  评论:(0)  加入收藏
介绍Zerobot是一种基于go语言的增强型僵尸网络恶意软件,利用web应用程序漏洞并使用物联网传播自己。微软的研究人员已经监视Zerobot几个月了。Zerobot恶意软件是作为恶意软件...【详细内容】
2022-12-26  血超级厚的土豆  今日头条  Tags:漏洞   点击:(6)  评论:(0)  加入收藏
BYOF (Bring Your Own Filesystem)攻击是指攻击者在其自有的设备上创建一个恶意文件系统,而该设备上含有用于发起攻击活动的标准工具集。然后将该文件系统下载和挂载到被入侵...【详细内容】
2022-12-17  嘶吼RoarTalk     Tags:漏洞   点击:(22)  评论:(0)  加入收藏
谷歌威胁分析小组 (TAG) 透露,一群被追踪为 APT37 的东北亚某国黑客利用以前未知的 Internet Explorer 0day漏洞感染韩国目标。10 月 31 日,当来自韩国的多个 VirusTotal 提交...【详细内容】
2022-12-09  会杀毒的单反狗  今日头条  Tags:漏洞   点击:(33)  评论:(0)  加入收藏
据一位安全研究人员称,几个主要汽车品牌已经解决了一些漏洞,这些漏洞可能允许黑客远程控制 2012 年之后生产的某些汽车的锁、发动机、喇叭、前灯和后备箱。Yuga Labs 安全工程...【详细内容】
2022-12-01  会杀毒的单反狗    Tags:漏洞   点击:(29)  评论:(0)  加入收藏
站内最新
站内热门
站内头条