JSON Web Token (JWT) er en standard for sikker autentisering av moderne webapplikasjoner.
Det advares nå mot to kritiske sårbarheter som er avdekket på tvers av en rekke tilhørende kodebiblioteker.
En angriper kan utnytte sårbarhetene til å omgå verifiseringstrinnet, og dermed skaffe seg uautorisert adgang til nettressurser.
- Dersom du benytter node-jsonwebtoken eller pyjwt med asymmetriske krypteringsnøkler (RS256, RS384, RS512, ES256, ES384, ES512) bør du oppdatere til siste versjon. De som bruker php-jwt eller jsjwt med asymmetriske nøkler bør vurdere å bytte til andre ikke-sårbare biblioteker inntil det foreligger en patch.
Det skriver sikkerhetsforsker Tim McClean som har avdekket sårbarhetene i et blogginnlegg (via Hacker News).
Hvilke kodebiblioteker som er berørt fremgår av en oversikt på nettstedet jwt.io. Bibliotekene for Python og Node.js er som tidligere nevnt blant de som må oppdateres til nyeste versjon, mens det ifølge oversikten foreløpig ikke er trygt å bruke implemeteringene for JavaScript og PHP.