Katalog CVE

CVE-2026-34950

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W wersjach 6.1.0 i wcześniejszych, regex publicKeyPemMatcher w fast-jwt/src/crypto.js używa kotwicy ^, która jest ignorowana przez wszelkie wiodące białe znaki w ciągu klucza. To umożliwia ponowne wykorzystanie ataku na algorytm JWT, który został załatany w CVE-2023-48223.

Ocena ryzyka

Organizacje mogą być narażone na ataki związane z myleniem algorytmu JWT, co może prowadzić do nieautoryzowanego dostępu do zasobów lub danych.

Rekomendacja

Zaleca się aktualizację do wersji nowszej niż 6.1.0, aby usunąć tę podatność i zabezpieczyć aplikacje korzystające z fast-jwt.

Oryginalny opis (angielski, źródło NVD)

fast-jwt provides fast JSON Web Token (JWT) implementation. In 6.1.0 and earlier, the publicKeyPemMatcher regex in fast-jwt/src/crypto.js uses a ^ anchor that is defeated by any leading whitespace in the key string, re-enabling the exact same JWT algorithm confusion attack that CVE-2023-48223 patched.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS