JsonWebToken 安全漏洞引发的代码执行风险

关键要点

根据 SecurityWeek 的报道，广泛使用的开源 JavaScript 包 JsonWebToken 存在安全漏洞，可能被威胁行为者利用，导致 远程代码执行。Palo Alto Networks 的 Unit 42 研究人员发现，该漏洞的编号为 CVE202223529，位于该包的验证功能中，主要是因为缺少对某个参数的验证。这一验证的缺失使得攻击者可以通过恶意构造的 JSON JWT 请求，利用该参数向验证函数提供恶意对象，从而实现方法重写和任意文件写入。

受影响的 JsonWebToken 版本是 851 及之前版本，而该漏洞已在 JsonWebToken 900 版本中得到解决。Unit 42 强调：“使用开源软件时，安全意识至关重要。定期审查常用的安全开源实现是维护其可靠性所必需的，这也是开源社区可以参与的工作。”

相关链接

请确保您的系统使用的是最新版本，以降低潜在的安全风险。