CVE-2026-35039
CriticalSummary
fast-jwt to szybka implementacja JSON Web Token (JWT). W wersjach od 0.0.1 do przed 6.2.0, niewłaściwe skonfigurowanie metody cacheKeyBuilder może prowadzić do kolizji w pamięci podręcznej, co skutkuje błędną identyfikacją tokenów podczas weryfikacji.
Risk Assessment
Może to prowadzić do sytuacji, w której ważne tokeny zwracają roszczenia z innych ważnych tokenów, co skutkuje błędną identyfikacją użytkowników. Organizacje mogą być narażone na nieautoryzowany dostęp do danych użytkowników.
Recommendation
Zaleca się aktualizację do wersji 6.2.0 lub nowszej, aby załatać tę podatność i uniknąć problemów z identyfikacją użytkowników.
Original NVD description (English source)
fast-jwt provides fast JSON Web Token (JWT) implementation. From 0.0.1 to before 6.2.0, setting up a custom cacheKeyBuilder method which does not properly create unique keys for different tokens can lead to cache collisions. This could cause tokens to be mis-identified during the verification process leading to valid tokens returning claims from different valid tokens and users being mis-identified as other users based on the wrong token. Version 6.2.0 contains a patch.

