Les sociétés d’authentification et d’autorisation Auth0 ont en fait corrigé une vulnérabilité d’exécution de code à distance dans la bibliothèque open source ‘JsonWebToken’. Comme indiqué par BleepingComputer, le correctif est essentiel car cette bibliothèque est « profondément populaire », utilisée par plus de 22 000 tâches et téléchargée plus de 36 millions de fois par mois sur NPM.
JsonWebToken peut être trouvé dans une multitude de -sourcez des projets créés par de grands éditeurs, dont Microsoft, Twilio, Salesforce, Intuit, Box, IBM, Docusign, Slack et SAP. La vulnérabilité, identifiée comme CVE-2022-23529, affecte les variations de JsonWebToken antérieures à 9.0.0.
JsonWebToken
Le site Web d’Auth0 explique que JsonWebToken (JWT) est une norme ouverte qui « spécifie une méthode compacte et autonome pour envoyer en toute sécurité des informations entre les célébrations en tant que choses JSON ». L’article indique que « ces détails peuvent être vérifiés et invoqués en raison du fait qu’ils sont signés numériquement ». Les JWT peuvent être signés en utilisant une astuce (avec l’algorithme HMAC) ou un ensemble crucial public/privé utilisant RSA ou ECDSA.
La tâche de bibliothèque JsonWebToken est développée et conservée par Okta Auth0. Il compte plus de 9 millions de téléchargements hebdomadaires sur le référentiel du plan NPM, selon BleepingComputer. L’exploitation efficace de CVE-2022-23529 pourrait permettre aux agresseurs de contourner les mécanismes d’authentification, d’accéder à des informations secrètes et de voler ou de personnaliser des données. L’unité 42 de Palo Alto Networks a découvert CVE-2022-23529 en juillet 2022.
CVE-2022-23529
Les scientifiques ont découvert que les stars du risque pouvaient exécuter du code à distance sur des serveurs utilisant JsonWebToken après ils ont validé un jeton JWS construit de manière malveillante. Le système 42 a immédiatement signalé ses découvertes à Auth0. La vulnérabilité est classée comme « haute gravité » avec un score CVSS de 7,6. Le danger n’a pas été considéré comme « important » car les acteurs du risque ne peuvent l’exploiter que dans le cadre de la procédure de gestion secrète.
Le groupe Auth0 a confirmé qu’il travaillait sur une solution en août et a publié un patch le 21 décembre 2022 avec la variante JsonWebToken 9.0.0. La réparation consiste en des vérifications supplémentaires du critère secretOrPublicKey, lui évitant d’analyser des objets destructeurs.
Toute l’actualité en temps réel, est sur L’Entrepreneur
