CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-34950

Critical
Published: Translated: NVD NIST

Summary

W wersjach 6.1.0 i wcześniejszych, regex publicKeyPemMatcher w fast-jwt/src/crypto.js używa kotwicy ^, która jest ignorowana przez wszelkie wiodące białe znaki w ciągu klucza. To umożliwia ponowne wykorzystanie ataku na algorytm JWT, który został załatany w CVE-2023-48223.

Risk Assessment

Organizacje mogą być narażone na ataki związane z myleniem algorytmu JWT, co może prowadzić do nieautoryzowanego dostępu do zasobów lub danych.

Recommendation

Zaleca się aktualizację do wersji nowszej niż 6.1.0, aby usunąć tę podatność i zabezpieczyć aplikacje korzystające z fast-jwt.

Original NVD description (English source)

fast-jwt provides fast JSON Web Token (JWT) implementation. In 6.1.0 and earlier, the publicKeyPemMatcher regex in fast-jwt/src/crypto.js uses a ^ anchor that is defeated by any leading whitespace in the key string, re-enabling the exact same JWT algorithm confusion attack that CVE-2023-48223 patched.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS