概要
CVE-2022-23529
js のライブラリ jsonWebTokenに関する脆弱性が報告された。
このライブラリは jwt の署名の検証などに用いられている。
脅威の内容
詳細な説明に関してはこちらを参考にしていただきたいが、ざっくりとはこう。
jsonWebToken をもとに jwt の署名の検証をするときにpemファイル(公開鍵)の値を入れる引数がある。
そこに不正なオブジェクトを挿入すれば不正に突破される模様。
所感
個人的にはこの脅威に対して急ぎ対応する必要はないかなと思いました。
基本的にはjwtの署名の検証における公開鍵にあたる引数はバックエンドからのみ指定できるように実装されていて、てかそうなっていないと元から不正アクセスされてもおかしくないという代物。
つまりこの攻撃ができるような実装になっていたらそもそもこの脆弱性を直しても同様の攻撃ができてしまうので、実装自体を見直すべき。
最後に
あくまで個人の感想なので、皆さんの参考程度になれば幸いです。
ご指摘等あればお願いします。