Vulnerabilità: CVE-2020-15084

In Espresso-JWT (pacchetto NPM) e compresa la versione 5.3.3, la voce di algoritmi da specificare nella configurazione non viene applicata. Quando algoritmi non è specificato nella configurazione, con la combinazione di jwks-rsa, può portare ad autorizzazione bypass. Siete affetti da questa vulnerabilità, se tutte le seguenti condizioni: – Si utilizza Express-JWT – Non si dispone di algoritmi ** ** configurati nella configurazione Express-JWT. – Si utilizza le librerie come jwks-rsa come il segreto ** **. È possibile risolvere questo specificando algoritmi ** ** nella configurazione Express-JWT. Vedere legata GHSA per esempio. Questo è anche risolto nella versione 6.0.0.


https://github.com/auth0/express-jwt/security/advisories/GHSA-6g6m-m6h5-w9gf
https://github.com/auth0/express-jwt/security/advisories/GHSA-6g6m-m6h5-w9gf
https://github.com/auth0/express-jwt/commit/7ecab5f8f0cab5297c2b863596566eb0c019cdef
https://github.com/auth0/express-jwt/commit/7ecab5f8f0cab5297c2b863596566eb0c019cdef
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15084


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi