آسیب‌پذیری‌ در JJWT

شناسایی آسیب‌پذیری‌ در JJWT (معروف به Java JWT) نسخه 0.12.5 به‌دلیل وجود اشکال در پارس کردن ورودی کاربر در متد signWith() و متد setSigningKey()، کاراکترهای خاصی نادیده گرفته می‌شوند. بنابراین کاربر ممکن است به اشتباه تصور کند که از یک کلید قوی استفاده می‌کند. کد تحت تاثیر متد setSigningKey() در کلاس DefaultJwtParser و متد signWith()  در کلاس DefaultJwtBuilder قرار دارد. در فریمورک JJWT، از متد signWith() هنگام تولید JWT استفاده می‌شود و از متد setSigningKey()  هنگام رمزگشایی JWT استفاده می‌شود. هدف JJWT این است که ساده‌ترین کتابخانه برای ایجاد و تأیید JSON Web Tokens (JWTs) و JSON Web Keys (JWKs) در JVM  وAndroid  باشد.

شناسه آسیب‌پذیری شدت آسیب‌پذیری لینک راهکار توضیحات
Vendor NVD
CVE-2024-31033 نامشخص https://github.com/2308652512/JJWT_BUG  

 

 

administrator

نظر دهید