CVE-2026-35039
KrytyczneStreszczenie
fast-jwt to szybka implementacja JSON Web Token (JWT). W wersjach od 0.0.1 do przed 6.2.0, niewłaściwe skonfigurowanie metody cacheKeyBuilder może prowadzić do kolizji w pamięci podręcznej, co skutkuje błędną identyfikacją tokenów podczas weryfikacji.
Ocena ryzyka
Może to prowadzić do sytuacji, w której ważne tokeny zwracają roszczenia z innych ważnych tokenów, co skutkuje błędną identyfikacją użytkowników. Organizacje mogą być narażone na nieautoryzowany dostęp do danych użytkowników.
Rekomendacja
Zaleca się aktualizację do wersji 6.2.0 lub nowszej, aby załatać tę podatność i uniknąć problemów z identyfikacją użytkowników.
Oryginalny opis (angielski, źródło NVD)
fast-jwt provides fast JSON Web Token (JWT) implementation. From 0.0.1 to before 6.2.0, setting up a custom cacheKeyBuilder method which does not properly create unique keys for different tokens can lead to cache collisions. This could cause tokens to be mis-identified during the verification process leading to valid tokens returning claims from different valid tokens and users being mis-identified as other users based on the wrong token. Version 6.2.0 contains a patch.

