人気のJSON Webトークンライブラリに脆弱性 影響範囲は

JSON Webトークンライブラリ「JsonWebToken」にリモートコード実行（RCE: Remote Code Execution）のセキュリティ脆弱性が存在すると明らかになった。2万を超えるプロジェクトが同ライブラリを使っていると推定され、影響範囲が広い。

[後藤大地，有限会社オングス]

　Palo Alto Networksは2023年1月9日（現地時間）、「Disclosing a New Vulnerability in JWT Secret Poisoning（CVE-2022-23529）」を発表し、人気の高いJSON Webトークンライブラリ「JsonWebToken」にリモートコード実行（RCE: Remote Code Execution）の脆弱（ぜいじゃく）性が存在すると伝えた。

図1　Disclosing a New Vulnerability in JWT Secret Poisoning（CVE-2022-23529）のトップ（出典：Palo Alto NetworksのWebサイト）

2万超えるプロジェクトがライブラリを使用　その影響範囲は

　JsonWebTokenとは、承認や認証の目的で使われるJSON Webトークンの検証や署名を行うオープンソースのJavaScriptパッケージだ。Palo Alto Networksによれば、週900万回以上のダウンロードに加えて、2万を超えるプロジェクトがJsonWebTokenを利用している。

　Palo Alto Networksが発見したリモートコード実行（RCE: Remote Code Execution）の脆弱性「CVE-2022-23529」は、共通脆弱性評価システム（CVSS: Common Vulnerability Scoring System）のスコア値で7.6となり、深刻度は「重要」（High）とされる。

　脆弱性が存在するとされるプロダクトおよびバージョンは以下だ。

• node-jsonwebtoken 8.5.1およびこれよりも前のバージョン

　脆弱性が修正されたプロダクトおよびバージョンは以下だ。

• node-jsonwebtoken バージョン9.0.0

　同脆弱性はリモートコード実行が可能だが、実際にサイバーセキュリティ攻撃を行うのは困難だと分析される。共通脆弱性評価システムで「緊急」（Critical）に分類されていないのはそうした理由からだ。

　一方、JsonWebTokenを利用しているプロジェクトの数は2万以上で、悪用されればその被害は大きくなると予測される。また、長期間にわたって脆弱性が存在するJsonWebTokenが使われ続ける可能性もあり、この脆弱性を利用したサイバーセキュリティ攻撃が発生しないとも言えない。

　セキュリティベンダーなどが提供する情報に注意し、該当するソフトウェアを使用している場合には迅速に対応することが重要だ。