- admin
- Java, آسیب پذیری, امنیت, امنیت سایبری, امنیت شبکه, جاوا, هاویرتک
- 0 نظر
- 453 بازدید
شناسایی آسیبپذیری در JJWT (معروف به Java JWT) نسخه 0.12.5 بهدلیل وجود اشکال در پارس کردن ورودی کاربر در متد signWith() و متد setSigningKey()، کاراکترهای خاصی نادیده گرفته میشوند. بنابراین کاربر ممکن است به اشتباه تصور کند که از یک کلید قوی استفاده میکند. کد تحت تاثیر متد setSigningKey() در کلاس DefaultJwtParser و متد signWith() در کلاس DefaultJwtBuilder قرار دارد. در فریمورک JJWT، از متد signWith() هنگام تولید JWT استفاده میشود و از متد setSigningKey() هنگام رمزگشایی JWT استفاده میشود. هدف JJWT این است که سادهترین کتابخانه برای ایجاد و تأیید JSON Web Tokens (JWTs) و JSON Web Keys (JWKs) در JVM وAndroid باشد.
| شناسه آسیبپذیری | شدت آسیبپذیری | لینک راهکار | توضیحات | |
| Vendor | NVD | |||
| CVE-2024-31033 | – | نامشخص | https://github.com/2308652512/JJWT_BUG | |
