9VSA23-00764-01 CSIRT comparte vulnerabilidad que afecta a jsonwebtoken
Resumen
El CSIRT de Gobierno comparte la información sobre una nueva vulnerabilidad que afecta a la biblioteca de JavaScript conocida como jsonwebtoken (JWT).
Vulnerabilidades
CVE-2022-23529
Impacto
Vulnerabilidades de riesgo crítico
CVE-2022-23529: Su explotación puede permitir a un atacante realizar ejecución remota de código (RCE) en un servidor, al hacerle verificar una solicitud token web JSON (JWT) maliciosa.
Productos afectados
JsonWebToken anteriores a la versión 9.0.0, que corrige el problema.
Mitigación
Instalar las respectivas actualizaciones entregadas por el proveedor.
Enlaces
https://github.com/advisories/GHSA-27h2-hvpr-p74q
https://unit42.paloaltonetworks.com/jsonwebtoken-vulnerability-cve-2022-23529/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23529
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00764-01.