Palo Alto Networks hat eine Sicherheitslücke im Open-Source-Projekt JsonWebToken entdeckt. Damit können Angreifer Remotecodeausführung (RCE) auf einem Server erschleichen.
Die Cybersicherheitsanalysten von Palo Alto Networks Unit 42 decken eine Sicherheitslücke namens CVE-2022-23529 mit dem hohen Schweregrad CVSS 7.6 im Open-Source-Projekt JsonWebToken auf. Die Schwachstelle wird als besonders schwerwiegend eingestuft, da Angreifer durch deren Ausnutzung Remotecodeausführung (RCE) auf einem Server erreichen können.
JsonWebToken ist ein Open-Source-JavaScript-Paket, mit dem Unternehmen JWTs verifizieren/signieren können, die hauptsächlich für Autorisierungs- und Authentifizierungszwecke verwendet werden. Das von Okta Auth0 entwickelte und gepflegte Paket wurde zum Zeitpunkt der Erstellung dieses Beitrags über neun Millionen Mal pro Woche heruntergeladen und hat über 20.000 Abhängigkeiten (laut der JsonWebToken-Seite). Dieses Paket spielt eine große Rolle bei der Authentifizierungs- und Autorisierungsfunktionalität für viele Anwendungen.
Dies ist eine wichtige Entdeckung, da Open-Source-Projekte heute häufig das Rückgrat vieler Dienste und Plattformen bilden. Dies gilt auch für die Implementierung sensibler Sicherheitsmechanismen, die bei Authentifizierungs- und Autorisierungsprozessen eine große Rolle spielen.
Die Schwachstelle wurde im Rahmen eines Programms entdeckt, bei dem Sicherheitsforscher von Unit 42 regelmäßig nach Risiken in Open-Source-Projekten suchen.
- Das von Auth0 entwickelte und gepflegte JsonWebToken-Paket wird wöchentlich über neun Millionen Mal heruntergeladen und hat über 20.000 Abhängigkeiten. Dieses Paket spielt eine wichtige Rolle bei der Authentifizierungs- und Autorisierungsfunktionalität für viele Anwendungen.
- Die Schwachstelle wird als CVE-2022-23529 identifiziert und als hochgradig schwerwiegend eingestuft (CVSS 7.6). Durch Ausnutzung der Schwachstelle können Angreifer Remotecodeausführung (RCE) auf einem Server erreichen, der eine böswillig gestaltete JSON-Web-Token (JWT)-Anforderung verifiziert.
- Unternehmen, die das JsonWebToken-Paket in der Version 8.5.1 oder einer früheren Version verwenden, sollten umgehend auf die Version 9.0.0 aktualisieren, die einen Patch für diese Sicherheitslücke enthält.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de