您当前的位置:首页 > 电脑百科 > 安全防护 > 漏洞

Node.JS基础库JWT爆发严重RCE漏洞

时间:2023-01-12 11:47:33  来源:今日头条  作者:虫虫安全

近日著名node.js库JWT(JsonWebToken )被爆存在严重远程漏洞。作为一个基础库,JWT被供应链广泛采用用,影响22000 多个项目个项目,其中包括Microsoft、Twilio、Salesforce、Intuit、Box、IBM、Docusign、Slack、SAP 知名公司的开源项目。

概述

JsonWebToken 项目是一个开源库,用于创建、签发和验证JSON Web 令牌。JWT遵循开放标准RFC 7519 ,该标准定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为JSON 对象。该信息可以被验证和信任,因为它是经过数字签名的,JWT项目由Okta Auth0 开发和维护,根据NPM站点的统计数据其周下载量有1000万次 ,被22060个项目依赖。


最新暴露的漏洞CVE编号为CVE-2022-23529 ,利用该漏洞可使攻击者绕过身份验证机制、访问机密信息,还可以用来窃取和修改数据。

根据Unit 42的说明,该漏洞的利用需要先破坏应用程序和JsonWebToken 服务器之间的密码管理过程,加大了可被利用的难度。目前其严重性等级降7.6。

漏洞分析

CVE-2022-23529 漏洞由Palo Alto 网络的Unit 42 在去年7 月13 日发现,并立即报告给 Auth0。

研究人员发现,威胁行为者在验证恶意制作的 JWS 令牌后,可以使用JsonWebToken 在服务器上实现远程代码执行。

漏洞注入点位于JsonWebToken 的verify() 方法中,该方法用于验证 JWT 并返回解码信息。 此方法接受三个参数:token 、secretOrPublicKey 和option。由于函数验证时候未对“secretOrPublicKey”参数的检查以确定它是字符串还是缓冲区,攻击者可以发送特制对象在目标机器上执行任意文件写入。


使用相同的缺陷,但请求的负载略有不同,Unit42 报告说实际上可以实现远程代码执行。

此漏洞被归类为“高严重性”(CVSS 3.1 得分:7.6),因为利用它很复杂,只能在秘密管理过程中利用它。只有当允许不受信任的实体在控制的主机上修改jwt.verify() 的密钥检索参数时,才会受到影响,。

Auth0 团队确认在2022 年8 月正在研究解决方案,在2022 年12 月21日发布了 JsonWebToken 版本9.0.0 的补丁。

该补丁包括对 secretOrPublicKey 参数实施额外检查,以防止其解析恶意对象。

由于JsonWebToken 是被广泛的引用开源库,供应链影响巨大,并且它将持续很长一段时间,直到大多数项目升级到安全版本。

虽然该漏洞利用难度较高,但考虑到潜在目标的数量,虽然该漏洞利用难度较高,但考虑到潜在目标的数量,建议所有系统管理都赶紧排查影响面并及时升级系统。



Tags:RCE漏洞   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
Node.JS基础库JWT爆发严重RCE漏洞
近日著名node.js库JWT(JsonWebToken )被爆存在严重远程漏洞。作为一个基础库,JWT被供应链广泛采用用,影响22000 多个项目个项目,其中包括Microsoft、Twilio、Salesforce、Intuit...【详细内容】
2023-01-12  Search: RCE漏洞  点击:(280)  评论:(0)  加入收藏
Liferay Portal CE 系统反序列化RCE漏洞复现(CVE-2020-7961)
Liferay Portal CE是一款用来快速构建网站的开源系统。在7.2.1 CE GA2之前的Liferay Portal中,对不可信数据的反序列化允许远程攻击者通过JSON web服务(JSONWS)执行任意代码...【详细内容】
2020-07-20  Search: RCE漏洞  点击:(587)  评论:(0)  加入收藏
最大严重性RCE漏洞 (微软,甲骨文和Facebook)供应商存在严重漏洞
F5网络(F5)修补了一个严重的远程代码执行(RCE)漏洞,该漏洞在BIG-IP应用程序交付控制器(ADC)的流量管理用户界面(TMUI)的未公开页面中发现。使用BIG-IP软件和硬件解决方案的F5客户包...【详细内容】
2020-07-05  Search: RCE漏洞  点击:(506)  评论:(0)  加入收藏
▌简易百科推荐
 Opera 漏洞可能让黑客在 Mac 或 Windows 上运行任何文件
网络安全研究人员披露了 Microsoft Windows 和 Apple macOS Opera 网络浏览器中的一个现已修补的安全漏洞,该漏洞可被利用来执行底层操作系统上的任何文件。Guardio Labs研究...【详细内容】
2024-01-19  科技大人物    Tags:漏洞   点击:(79)  评论:(0)  加入收藏
俄黑客组织利用WinRAR漏洞攻击乌克兰
据Securityaffairs网站消息,具有俄罗斯背景的黑客组织UAC-0099正在利用WinRAR中的一个零日漏洞(已修复,编号CVE-2023-38831)对乌克兰传播LONEPAGE恶意软件。实际上,自2022年中旬...【详细内容】
2023-12-27  区块软件开发  今日头条  Tags:漏洞   点击:(151)  评论:(0)  加入收藏
一文带你了解数据库层的安全漏洞及其危害性
数据库层的安全漏洞是Web应用程序中最常见且最简单的漏洞之一。这种漏洞的主要原因是程序没有对用户输入的数据进行合法性判断和处理,从而导致攻击者能够在Web应用程序中注入...【详细内容】
2023-12-19  科技界脑洞    Tags:漏洞   点击:(155)  评论:(0)  加入收藏
七个优秀开源免费Web安全漏洞扫描工具
Web安全漏洞扫描技术是一种用于检测Web应用中潜在的漏洞或者安全风险的自动化测试技术。Web安全扫描工具可以模拟黑客行为,检测常见的漏洞,例如:Sql注入、XSS、文件上传、目录...【详细内容】
2023-11-17  andflow  微信公众号  Tags:安全漏洞   点击:(233)  评论:(0)  加入收藏
2023年TOP 5 Kubernetes漏洞
译者 | 晶颜审校 | 重楼Kubernetes是一个流行的开源平台,用于管理容器化的工作负载和服务。它是一个简化了大量部署、扩展和操作任务的系统,但它并非没有风险。就像任何其他软...【详细内容】
2023-11-15    51CTO  Tags:漏洞   点击:(313)  评论:(0)  加入收藏
SysAid IT 曝出零日漏洞,需尽快安装补丁
根据微软的最新发现,以传播 Clop 勒索软件而闻名的 Lace Tempest 黑客组织,近日利用 SysAid IT 支持软件的零日漏洞实施了攻击。该黑客组织曾经还利用 MOVEit Transfer 和 Pap...【详细内容】
2023-11-10  沐雨花飞蝶  微信公众号  Tags:SysAid   点击:(251)  评论:(0)  加入收藏
常见Windows远程漏洞信息整理
通过漏洞扫描,发现漏洞,更新补丁,增强内网安全防御能力。1.常见windows提权漏洞(1)MS08-067 Windows服务漏洞漏洞描述:该漏洞影响Windows Server 2000、Windows XP和Windows 2003...【详细内容】
2023-11-07  小兵搞安全  微信公众号  Tags:漏洞   点击:(280)  评论:(0)  加入收藏
报告称微软 Skype 移动应用存在严重漏洞,可轻易泄露用户 IP 地址
IT之家 8 月 29 日消息,据 404Media.co 报道,微软的 Skype 移动应用存在一个严重的漏洞,可能导致黑客通过发送一个链接就能检测到用户的 IP 地址。该漏洞只需利用 Skype 的文本...【详细内容】
2023-08-29    IT之家  Tags:漏洞   点击:(150)  评论:(0)  加入收藏
可绕过苹果三重防护机制,专家发现 macOS 新漏洞
IT之家 8 月 15 日消息,近期在拉斯维加斯举行的 Defcon 黑客大会上,安全研究员帕特里克・沃德尔(Patrick Wardle)展示了 macOS 新漏洞,可以绕过苹果设置的三重防护机制,窃取设备敏...【详细内容】
2023-08-15    IT之家  Tags:漏洞   点击:(211)  评论:(0)  加入收藏
两个新漏洞可能影响 40% 的 Ubuntu 云工作负载
云安全公司 Wiz 的研究人员在 Ubuntu 的 OverlayFS 模块中发现了两个易于利用的权限提升漏洞,影响了 40% 的 Ubuntu 云工作负载。OverlayFS 是一种联合文件系统,允许一个文件...【详细内容】
2023-07-28    云安全公司 Wiz 的研究人员在 Ubuntu 的 OverlayFS 模块中发现了两个易于利用的权限提升漏洞,影响了   Tags:漏洞   点击:(226)  评论:(0)  加入收藏
站内最新
站内热门
站内头条