人気のJSON Webトークンライブラリに脆弱性 影響範囲は
JSON Webトークンライブラリ「JsonWebToken」にリモートコード実行(RCE: Remote Code Execution)のセキュリティ脆弱性が存在すると明らかになった。2万を超えるプロジェクトが同ライブラリを使っていると推定され、影響範囲が広い。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Palo Alto Networksは2023年1月9日(現地時間)、「Disclosing a New Vulnerability in JWT Secret Poisoning(CVE-2022-23529)」を発表し、人気の高いJSON Webトークンライブラリ「JsonWebToken」にリモートコード実行(RCE: Remote Code Execution)の脆弱(ぜいじゃく)性が存在すると伝えた。
図1 Disclosing a New Vulnerability in JWT Secret Poisoning(CVE-2022-23529)のトップ(出典:Palo Alto NetworksのWebサイト)2万超えるプロジェクトがライブラリを使用 その影響範囲は
JsonWebTokenとは、承認や認証の目的で使われるJSON Webトークンの検証や署名を行うオープンソースのJavaScriptパッケージだ。Palo Alto Networksによれば、週900万回以上のダウンロードに加えて、2万を超えるプロジェクトがJsonWebTokenを利用している。
Palo Alto Networksが発見したリモートコード実行(RCE: Remote Code Execution)の脆弱性「CVE-2022-23529」は、共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)のスコア値で7.6となり、深刻度は「重要」(High)とされる。
脆弱性が存在するとされるプロダクトおよびバージョンは以下だ。
- node-jsonwebtoken 8.5.1およびこれよりも前のバージョン
脆弱性が修正されたプロダクトおよびバージョンは以下だ。
- node-jsonwebtoken バージョン9.0.0
同脆弱性はリモートコード実行が可能だが、実際にサイバーセキュリティ攻撃を行うのは困難だと分析される。共通脆弱性評価システムで「緊急」(Critical)に分類されていないのはそうした理由からだ。
一方、JsonWebTokenを利用しているプロジェクトの数は2万以上で、悪用されればその被害は大きくなると予測される。また、長期間にわたって脆弱性が存在するJsonWebTokenが使われ続ける可能性もあり、この脆弱性を利用したサイバーセキュリティ攻撃が発生しないとも言えない。
セキュリティベンダーなどが提供する情報に注意し、該当するソフトウェアを使用している場合には迅速に対応することが重要だ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- Kali Linuxの最新版「2023.4」が公開 Raspberry Pi 5サポートなどを強化
- 「年功序列を辞めないと日本企業は破綻」 人事の専門家が語る“本当に”取り組むべきこと
- 「IT商材を売るSIer」はもういらない ユーザー企業視点で“共創パートナー”について考えてみた
- 日立はなぜ組織再編でクラウドネイティブコミュニティーに肩入れをするのか
- ERPベンダーにロックインされるな 企業が“最適なシステム構成”を実現する方法
- サイバーレジリエンスを俯瞰しよう 310ページに及ぶNIST資料を分かりやすく解説
- ChromeやEdgeでパスワードがダダ漏れ? 対策はあるか
- Okta環境で発生したデータ漏えい 当初の予測より漏えい範囲は甚大か
- なぜクラウド変革の半数は「悲惨な結果」に終わるのか?
- セールスフォースとアクセンチュアがクラウドサービスを発表 その特徴は
ITmediaはアイティメディア株式会社の登録商標です。