Разработчики Okta Auth0 исправили уязвимость RCE в популярной библиотеке с открытым исходным кодом JsonWebToken, которая используется в 22 000 проектах (включая проекты с открытым исходным кодом от Microsoft, Twilio, Salesforce, Intuit, Box, IBM, DocuSign, Slack и SAP) и имеет более 36 миллионов загрузок в месяц для NPM.

Свежая уязвимость получила личность CVE-2022-23529 (оценка CVSS 7,6) и затрагивает все версии JsonWebToken ниже 9.0.0 (выпущены до 21 декабря 2022 г.). Сообщается, что успешная работа CVE-2022-23529 позволяет обойти механизмы аутентификации, получить доступ к конфиденциальной информации, а также позволяет украсть или изменить данные.

Проблему обнаружили летом 2022 года специалисты Palo Alto Networks, о чем сразу же уведомили разработчиков. Затем эксперты заметили, что злоумышленники могут удаленно выполнять код с помощью JsonWebToken после проверки вредоносного токена JWS.

Проблема, из-за которой это произошло, заключалась в методе verify(), который использовался в JsonWebToken для проверки JWT и возврата расшифрованной информации. Этот метод имеет три параметра: токен, secretOrPublicKey и параметры. Не имея надлежащей проверки параметра secretOrPublicKey, чтобы определить, является ли он строкой или буфером, злоумышленники могут использовать специально созданные объекты для произвольной записи файлов на целевую машину.

Кроме того, использование одной и той же уязвимости с другой полезной нагрузкой в ​​запросе также может привести к удаленному выполнению произвольного кода.

Разработчики Auth0 работают над патчем с августа 2022 года, но исправленная версия с JsonWebToken (9.0.0) был выпущен только в конце декабря 2022 года. Этот патч включает в себя реализацию дополнительных проверок параметра secretOrPublicKey для предотвращения парсинга вредоносных объектов.