Katalog CVE

CVE-2026-35039

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

fast-jwt to szybka implementacja JSON Web Token (JWT). W wersjach od 0.0.1 do przed 6.2.0, niewłaściwe skonfigurowanie metody cacheKeyBuilder może prowadzić do kolizji w pamięci podręcznej, co skutkuje błędną identyfikacją tokenów podczas weryfikacji.

Ocena ryzyka

Może to prowadzić do sytuacji, w której ważne tokeny zwracają roszczenia z innych ważnych tokenów, co skutkuje błędną identyfikacją użytkowników. Organizacje mogą być narażone na nieautoryzowany dostęp do danych użytkowników.

Rekomendacja

Zaleca się aktualizację do wersji 6.2.0 lub nowszej, aby załatać tę podatność i uniknąć problemów z identyfikacją użytkowników.

Oryginalny opis (angielski, źródło NVD)

fast-jwt provides fast JSON Web Token (JWT) implementation. From 0.0.1 to before 6.2.0, setting up a custom cacheKeyBuilder method which does not properly create unique keys for different tokens can lead to cache collisions. This could cause tokens to be mis-identified during the verification process leading to valid tokens returning claims from different valid tokens and users being mis-identified as other users based on the wrong token. Version 6.2.0 contains a patch.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS